Google rappelle aux organisations de revoir combien de leurs Groupes Google les listes de diffusion doivent être publiques et indexées par Google.com. L’avis a été motivé en partie par un examen que BreachTrace a entrepris avec plusieurs chercheurs qui ont été occupés à répertorier des milliers d’entreprises qui utilisent des listes publiques de groupes Google pour gérer le support client et, dans certains cas, les communications internes sensibles.
Google Groupes est un service de Google qui propose des groupes de discussion pour les personnes partageant des intérêts communs. En raison de la manière organique dont les groupes Google ont tendance à se développer à mesure que de plus en plus de personnes sont ajoutées aux projets – et peut-être étant donné la possibilité de créer des comptes publics sur des groupes autrement privés – un certain nombre d’organisations avec des noms familiers divulguent des données sensibles dans leurs listes de messages.
De nombreux groupes Google divulguent des e-mails qui ne devraient probablement pas être publics mais qui sont néanmoins consultables sur Google, y compris des informations personnelles telles que des mots de passe et des données financières, et dans de nombreux cas des listes complètes des noms, adresses et e-mails des employés de l’entreprise.
Par défaut, les groupes Google sont définis sur privé. Mais Google reconnaît qu’il y a eu « un petit nombre de cas où des clients ont accidentellement partagé des informations sensibles en raison de paramètres de confidentialité de Google Groups mal configurés ».
Début mai, BreachTrace a entendu deux chercheurs de Kenna Sécurité qui a commencé à passer au peigne fin les groupes Google à la recherche de données sensibles. Ils ont trouvé des milliers d’organisations qui semblent divulguer par inadvertance des informations internes ou sur les clients.
Les chercheurs disent ils ont découvert plus de 9 600 organisations avec les paramètres publics de Google Groupes, et estiment qu’environ un tiers de ces organisations divulguent actuellement une forme quelconque d’e-mails sensibles. Les personnes concernées comprennent les entreprises du Fortune 500, les hôpitaux, les universités et les collèges, les journaux et les chaînes de télévision et les agences gouvernementales américaines.
Dans la plupart des cas, pour trouver des messages sensibles, il suffit de charger la page publique Google Groupes de l’entreprise et de commencer à saisir des termes de recherche clés, tels que « mot de passe », « compte », « hr », « comptabilité », « nom d’utilisateur » et « http : ».
De nombreuses organisations semblent avoir utilisé Google Groupes pour indexer les e-mails du support client, qui peuvent contenir toutes sortes d’informations personnelles, en particulier dans les cas où un employé envoie un e-mail à un autre.
Voici quelques-unes de leurs découvertes les plus surprenantes :
• Objet : Document(s) à examiner pour le client [REDACTED]. Groupe : Comptes fournisseurs
• Objet : URGENT : Facture en souffrance. Groupe : Comptes fournisseurs
• Fw : Récupération de mot de passe. Groupe : Assistance
• Identifiants GitHub. Grouper: [REDACTED]
• Sandbox : terminez la réinitialisation de votre mot de passe Salesforce. Grouper: [REDACTED]
• RE : [REDACTED] Documents de suspension. Groupe : Gestion des risques et de la fraude
En plus d’exposer des données personnelles et financières, les comptes Google Groups mal configurés indexent parfois publiquement une énorme quantité d’informations sur l’organisation elle-même, y compris des liens vers des manuels d’employés, des horaires de dotation, des rapports sur les pannes et les bogues d’application, ainsi que d’autres ressources internes.
Ces informations pourraient être une mine d’or potentielle pour les pirates cherchant à mener des attaques dites de « spearphishing » qui ciblent des employés spécifiques d’une organisation ciblée. De telles informations seraient également utiles pour les criminels qui se spécialisent dans les stratagèmes de « compromission des e-mails professionnels » (BEC) ou de « fraude au PDG », dans lesquels les voleurs usurpent les e-mails des cadres supérieurs aux gens de la finance demandant que de grosses sommes d’argent soient transférées à un tiers. -compte de partie dans un autre pays.
« Les implications possibles incluent le harponnage, la prise de contrôle de compte et une grande variété de fraudes et d’abus spécifiques à chaque cas », a écrit l’équipe de Kenna Security.
Dans son propre article de blog sur le sujet, Google a déclaré que les organisations utilisant Google Groupes devraient examiner attentivement s’il convient de modifier l’accès aux groupes de « privé » à « public » sur Internet. La société souligne que les groupes publics ont le marqueur « partagé publiquement » tout en haut, à côté du nom du groupe.
« Si vous donnez à vos utilisateurs la possibilité de créer des groupes publics, vous pouvez toujours redéfinir le paramètre au niveau du domaine sur privé », a déclaré Google. « Cela empêchera toute personne extérieure à votre entreprise d’accéder à l’un de vos groupes, y compris à tous les groupes précédemment définis comme publics par vos utilisateurs. »
Si votre organisation utilise des listes de diffusion Google Groupes, veuillez prendre quelques instants pour lire Article de blog de Google sur la façon de vérifier le partage excessif.
De plus, à moins que vous n’ayez besoin que certains groupes soient disponibles pour les utilisateurs externes, il peut être judicieux de définir les paramètres de votre groupe Google au niveau du domaine sur « privé » par défaut, conseille Kenna Security.
« Cela empêchera le partage de nouveaux groupes avec des utilisateurs anonymes », ont écrit les chercheurs. « Deuxièmement, vérifiez les paramètres des groupes individuels pour vous assurer qu’ils sont configurés comme prévu. Pour déterminer si des parties externes ont accédé à des informations, Google Groupes fournit une fonctionnalité qui compte le nombre de « vues » pour un fil de discussion spécifique. Dans presque tous les cas échantillonnés, ce nombre est actuellement à zéro pour les organisations concernées, ce qui indique que ni les utilisateurs malveillants ni les utilisateurs réguliers n’utilisent l’interface.