เทค

ข้อบกพร่องของ Google Apps เปิดเผยข้อมูลส่วนบุคคลของผู้ใช้บางคน

 เส้นเวลา-v5.png

นักวิจัยด้านความปลอดภัยกล่าวว่าชุดซอฟต์แวร์และเครื่องมือของ Google สำหรับธุรกิจเปิดเผยข้อมูลส่วนบุคคลของผู้ใช้บางรายมาเกือบสองปีแล้ว แม้ว่าผู้ใช้เหล่านั้นจะเลือกที่จะเก็บข้อมูลไว้เป็นส่วนตัวก็ตาม นักวิจัยด้านความปลอดภัยกล่าวเมื่อวันพฤหัสบดี

Google Apps for Work คือชุดบริการออนไลน์ของ Google เช่น Gmail และปฏิทินที่ได้รับการปรับแต่งสำหรับธุรกิจ ประกอบด้วย Google Domains เวอร์ชันหนึ่ง ซึ่งเป็นบริการเช่น GoDaddy ที่ช่วยให้ผู้ใช้ซื้อ URL ของเว็บไซต์และตั้งค่าที่อยู่อีเมลด้วยชื่อโดเมนเฉพาะบริษัท เช่น janedoe@yourbusiness.com

ผู้ใช้ที่ลงทะเบียนโดเมนผ่าน Google Apps for Work สามารถเลือกที่จะเก็บซ่อนข้อมูลการลงทะเบียน ซึ่งรวมถึงชื่อ ที่อยู่ หมายเลขโทรศัพท์ และที่อยู่อีเมล (โดยปกติข้อมูลดังกล่าวจะเป็นข้อมูลสาธารณะโดยค่าเริ่มต้น ในฐานข้อมูลชื่อโดเมนชื่อ Whois ซึ่งเป็นข้อกำหนดของหน่วยงานกำกับดูแลของเว็บ ICANN) แต่ข้อบกพร่องในผลิตภัณฑ์ Google Apps หมายความว่าเมื่อผู้ใช้ที่เลือกใช้ความเป็นส่วนตัวได้ต่ออายุการจดทะเบียน คำขอความเป็นส่วนตัวล้มลงข้างทาง ที่แย่กว่านั้น แม้ว่าจะมีการแก้ไขที่ทำให้โดเมนกลับสู่สถานะส่วนตัวก่อนหน้านี้ แต่บั๊กของ Google ก็น่าจะทำให้ข้อมูลส่วนตัวถูกทิ้งไว้บนอินเทอร์เน็ตตลอดไป

ข้อบกพร่องทำให้ข้อมูลถูกเปิดเผยตั้งแต่กลางปี ​​​​2556 จนถึงเมื่อไม่กี่สัปดาห์ก่อนตาม a โพสต์บล็อก โดย Talos Security Intelligence and Research Group ทาลอส -- ที่เกี่ยวข้องกับ Cisco Systems ผู้ผลิตอุปกรณ์เครือข่ายคอมพิวเตอร์ กล่าวว่าจากเจ้าของไซต์ Google Apps for Work 306,000 รายที่เลือกที่จะไม่เปิดเผยตัวตน 94 เปอร์เซ็นต์ (มากกว่า 280,000 โดเมน) อาจได้รับผลกระทบ โดเมนที่ไม่ได้รับการต่ออายุหรือได้รับการจดทะเบียนภายในปีที่แล้วจะไม่ได้รับผลกระทบ



ปัญหานี้เป็นปัญหาใหญ่สำหรับ Google และผู้ที่ขอโดเมนส่วนตัว เหตุผลในการซ่อนข้อมูลโดเมนมีมากมาย ตั้งแต่ต้องการความเป็นส่วนตัวมากขึ้นไปจนถึงการป้องกันฟิชชิ่งหรือการหลอกลวงอื่นๆ (ฟิชชิงเป็นความพยายามที่จะรับข้อมูลส่วนบุคคลของผู้ใช้โดยการส่งอีเมลที่ปลอมแปลงเป็นแหล่งข้อมูลที่น่าเชื่อถือ) Google Apps for Work ใช้ผู้ให้บริการความเป็นส่วนตัวที่เป็นบุคคลที่สามชื่อ eNom ซึ่งให้ผู้ใช้ปกปิดข้อมูลส่วนตัวของตนได้ในราคาประมาณ $6 ต่อปี บนไซต์ของบริษัท eNom ให้เหตุผลว่าไซต์ทั้งหมดควรปิดชื่อเพื่อป้องกันการโจรกรรมข้อมูลระบุตัวตนและอีเมลสแปม

ในบล็อกโพสต์ Talos ยังกล่าวถึงความเสี่ยงของข้อมูลที่เปิดเผยต่อสาธารณะ 'ผู้คุกคามอาจใช้ข้อมูลการลงทะเบียนโดเมนเพื่อวัตถุประสงค์ที่เป็นอันตราย' กล่าว 'ตัวอย่างเช่น การส่งอีเมลฟิชชิ่งเป้าหมายที่มีชื่อ ที่อยู่ และหมายเลขโทรศัพท์ของเหยื่อ เพื่อทำให้ฟิชดูเหมือนจริงมากยิ่งขึ้น'

Talos ยังกล่าวอีกว่าข้อมูล Google Domains ที่รั่วไหลออกมา 'จะพร้อมใช้งานอย่างถาวร เนื่องจากบริการต่างๆ จะเก็บข้อมูล Whois ไว้ถาวร'

โฆษกของ Google ยืนยันกับ LEXO เมื่อวันศุกร์ว่า Talos ค้นพบจุดบกพร่องและได้รับการแก้ไขในภายหลัง

'เมื่อเร็ว ๆ นี้นักวิจัยด้านความปลอดภัยได้รายงานข้อบกพร่องผ่านโปรแกรม Vulnerability Rewards ที่ส่งผลต่อการผสานรวมของ Google Apps กับ API การจดทะเบียนโดเมน eNom' โฆษกกล่าว 'เราระบุสาเหตุที่แท้จริง ทำการแก้ไขอย่างเหมาะสม และสื่อสารกับลูกค้า Apps ที่ได้รับผลกระทบ เราขออภัยสำหรับปัญหาใดๆ ที่อาจเกิดขึ้น'

จากข้อมูลของ Google โดเมนที่ได้รับผลกระทบกลับมาเป็นแบบส่วนตัวแล้ว และปัญหาจะไม่ส่งผลกระทบต่อการต่ออายุของลูกค้าใดๆ ในอีกไม่กี่เดือนข้างหน้า Google ยังชี้ให้เห็นอย่างรวดเร็วด้วยว่าการรั่วไหลของข้อมูลนั้นจำกัดเฉพาะข้อมูลการลงทะเบียนโดเมนเท่านั้น และไม่มีการจัดเก็บใน Google Apps