Lekken in Google Docs onthullen privé-documenten
Drie beveiligingslekken in Google Docs, de online tekstverwerker van de zoekgigant, zorgen er onder andere voor dat afgesloten documenten toch toegankelijk voor buitenstaanders zijn. Beveiligingsonderzoeker Ade Barkah ontdekte de problemen, maar volgens Google vormen die geen beveiligingsrisico. Het eerste lek zorgt ervoor dat verwijderde afbeeldingen, of waar de rechten van zijn ingetrokken, gewoon benaderbaar zijn. Een aanvaller moet in dit geval wel de juiste URL weten.
"Als je een document met emedded afbeeldingen met iemand hebt gedeeld, zal die persoon altijd de afbeeldingen kunnen bekijken. Als je een afbeelding in een beveiligd document plaatst, verwacht je dat ook de afbeelding beveiligd is. Het eindresultaat is een potentieel privacy-lek", aldus Barkah. De tweede kwetsbaarheid zorgt ervoor dat gebruikers alle versies van een aangepaste afbeelding kunnen zien. Gebruikers die toegang tot een aangepaste afbeelding hebben, hoeven alleen de URL aan te passen om het origineel te bekijken.
Het derde lek is het meest ernstig en de onderzoeker houdt details dan ook nog geheim. Het zorgt ervoor dat gebruikers die ooit toegang tot iemands Google Docs hadden, dat blijven hebben, ook al zijn hun toegangsrechten aangepast. "Een ernstige schending van de privacy", aldus Barkah, die Google op 18 maart inlichtte, maar pas op 26 maart een antwoord kreeg.
2. Dat is geen bug maar een feature het delen van een doc houdt in dat anderen het ook kunnen bewerken en zo heb je dus toegang tot eerdere versies.
3. In zijn eigen stukje staat: "in certain cases", QED, FUD, want er is geen nadere verklaring, net als bij de plaatjes van die Chinees, die moet de specifieke URL weten van de oude versie van het plaatje.
2: Uit het oorspronkelijke artikel kan je halen dat het gaat om het delen van een document in *view only* mode. Dan mag niemand ook oudere revisies kunnen zien van wat dan ook.
3: Natuurlijk is er nog geen nadere verklaring.... dat zegt hij toch? Ik neem aan dat hij nog met bewijzen komt, mogelijk (en terecht) pas als google het issue gefixed heeft. Daarna trek ik pas de conclusie of het FUD is of niet.
De aanpassing in de url is alleen een rev= nummertje aanpassen. De rest van de url heeft hij al uit het document. (ook uit het oorspronkelijke artikel te halen)
Inhoudelijk:
Rechten stellen over je informatie gaat om wat je als eigenaar wil: personen zonder rechten mogen niet langer bij de informatie komen via de dienst waar de rechten aan gekoppeld zijn. Maar dat maakt google kennelijk niets uit, daar zijn rechten niets anders dan een woordspeling.
Je kan er dan van alles om heen verzinnen waarom het niet zou hoeven uitmaken, hoe (on)zinnig het misschien is vanwege andere mogelijkheden buiten google om of gebruik in het verleden, dat is niet van toepassing. Het gaat er om wat google doet waar je om vraagt en dat google met respect omgaat met je informatie.
Er zit een groot verschil tussen het (onder EULA) doorvlooien van bestanden omdat ze op je systemen staan en het aan jan en alleman vrijgeven van de aan jou toevertrouwde data.
Ik wil niet beweren dat Google niets met je gegevens doet. Staat zelfs in hun algemene voorwaarden dat ze de data doorvlooien om je van reclame te voorzien. Maar op het moment dat ze claimen niets meer te doen met data dan dat jij expliciet toestaat (in toevoeging van de rechten die ze claimen in hun eigen voorwaarden) mag je verwachten dat dat ook zo is.
Hier maken ze dus toch een fout.
Ik stal verder geen vertrouwelijke prive documenten bij mijn werkgever anders dan in een Truecrypt of pgp encrypted file.
En ik denk niet dat mijn ISP (Xs4all) documenten die ik in m'n homedir neerzet gaat doorsnuffelen, maar daar zet ik ook niks geheims neer. En wat ik in m'n webdir zet is uiteraard bedoeld om door de hele wereld gelezen te worden.
2. Dat is geen bug maar een feature het delen van een doc houdt in dat anderen het ook kunnen bewerken en zo heb je dus toegang tot eerdere versies.
3. In zijn eigen stukje staat: "in certain cases", QED, FUD, want er is geen nadere verklaring, net als bij de plaatjes van die Chinees, die moet de specifieke URL weten van de oude versie van het plaatje.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.