В Google Drive обнаружена уязвимость, эксплуатация которой могла предоставить третьим лицам несанкционированный доступ к конфиденциальной или корпоративной информации. В настоящее время брешь исправлена.
Уязвимость позволяла любому желающему получить доступ к личным данным пользователя без предварительной аутентификации. В зону риска попали пользователи, хранящие файлы с кликабельными ссылками в своем облачном файлообменном сервисе. Если пользователь открывает файл через online-сервис, тогда владелец стороннего сайта получает доступ к секретной ссылке через заголовок HTTP Referer. Таким образом злоумышленник может получить доступ к потенциально важным данным, хранящимся в облаке.
В своем блоге Google уверяет, что эксплуатация уязвимости затронула только "небольшое количество файлов" в Google Drive. Злоумышленник может получить доступ к файлам только в случае, если: загруженный файл не был конвертирован в другой формат; владелец отметил документ как доступен для "всех, кто имеет ссылку"; файл содержал гиперссылки на сторонние HTTPS-сайты.
В Google утверждают, что отныне документы на Google Drive со ссылками на сторонние HTTPS-сайты больше не будут раскрывать оригинальную ссылку на документ.
Источник: SecurityLab
|
