Специалист по безопасности Грэхем Клули (Graham Cluley) рассуждает о новой уязвимости в Google Drive, которую только что частично исправила компания Google. По его мнению, это типичный пример того, как облачные сервисы по своей природе порождают новые угрозы для безопасности.
Понятно, почему компания Google преуменьшает характер проблемы, хотя та действительно затрагивает лишь малое количество файлов на Google Drive. Но суть в том, что это концептуальная уязвимость облачного хранения документов.
Документ хранится на публичном хостинге и ему присвоен уникальный URL. В настройках доступа к документу можно указать «Всем в интернете», и тогда содержимое документа включат в общий поисковый индекс Google, открытый для всех. Другой вариант настройки доступа — «Всем, у кого есть ссылка». Вот здесь и заключается «баг». Если кто-то из имеющих доступ перейдёт по ссылке, встроенной в документ, то случайные посторонние люди могут узнать этот URL из логов сервера (он указан как referrer).
На первый взгляд, ситуация редкая. Но Грэхем Клули приводит вполне реалистичные сценарии, когда вполне может произойти утечка конфиденциальных данных. Например, некая компания ведёт секретные переговоры о возможном слиянии с другой компаний, и высылает её представителям URL со своей презентацией на хостинге Google Drive. В презентацию внедрена гиперссылка на сайт конкурента. И если кто-то щёлкнет по этой ссылке, то конкурент тоже получит доступ к презентации. Хотя именно от него-то и предполагалось держать в секрете переговоры. Указывая настройки доступа «Всем, у кого есть ссылка», владелец документа предполагал, что прочитать его могут только те, кому он дал эту ссылку.
Компания Google закрыла отправку referrer’ов для документов, сконвертированных во внутренний формат Google Docs, для которых владелец откроет доступ в будущем, но не для старых «расшаренных» документов. В принципе, такие файлы желательно удалить с Google Drive, считает Клули.
