image

Lekken in Google Docs onthullen privé-documenten

zaterdag 28 maart 2009, 11:43 door Redactie, 7 reacties

Drie beveiligingslekken in Google Docs, de online tekstverwerker van de zoekgigant, zorgen er onder andere voor dat afgesloten documenten toch toegankelijk voor buitenstaanders zijn. Beveiligingsonderzoeker Ade Barkah ontdekte de problemen, maar volgens Google vormen die geen beveiligingsrisico. Het eerste lek zorgt ervoor dat verwijderde afbeeldingen, of waar de rechten van zijn ingetrokken, gewoon benaderbaar zijn. Een aanvaller moet in dit geval wel de juiste URL weten.

"Als je een document met emedded afbeeldingen met iemand hebt gedeeld, zal die persoon altijd de afbeeldingen kunnen bekijken. Als je een afbeelding in een beveiligd document plaatst, verwacht je dat ook de afbeelding beveiligd is. Het eindresultaat is een potentieel privacy-lek", aldus Barkah. De tweede kwetsbaarheid zorgt ervoor dat gebruikers alle versies van een aangepaste afbeelding kunnen zien. Gebruikers die toegang tot een aangepaste afbeelding hebben, hoeven alleen de URL aan te passen om het origineel te bekijken.

Het derde lek is het meest ernstig en de onderzoeker houdt details dan ook nog geheim. Het zorgt ervoor dat gebruikers die ooit toegang tot iemands Google Docs hadden, dat blijven hebben, ook al zijn hun toegangsrechten aangepast. "Een ernstige schending van de privacy", aldus Barkah, die Google op 18 maart inlichtte, maar pas op 26 maart een antwoord kreeg.

Reacties (7)
28-03-2009, 12:40 door Eerde
1. Nou en ?
2. Dat is geen bug maar een feature het delen van een doc houdt in dat anderen het ook kunnen bewerken en zo heb je dus toegang tot eerdere versies.
3. In zijn eigen stukje staat: "in certain cases", QED, FUD, want er is geen nadere verklaring, net als bij de plaatjes van die Chinees, die moet de specifieke URL weten van de oude versie van het plaatje.
28-03-2009, 13:28 door Kukel
1: Ingetrokken rechten zijn ingetrokken rechten en niet er alsnog bij kunnen op die plek. Ik vind het niet te vergelijken met het gedownload hebben van het document en er dan alsnog bij kunnen.... 'nou en' is wat mij betreft iets te kort door de bocht. Daarnaast kan je dan ook zomaar de link van plaatjes naar anderen kan doorsturen... dit hoort niet.

2: Uit het oorspronkelijke artikel kan je halen dat het gaat om het delen van een document in *view only* mode. Dan mag niemand ook oudere revisies kunnen zien van wat dan ook.

3: Natuurlijk is er nog geen nadere verklaring.... dat zegt hij toch? Ik neem aan dat hij nog met bewijzen komt, mogelijk (en terecht) pas als google het issue gefixed heeft. Daarna trek ik pas de conclusie of het FUD is of niet.
De aanpassing in de url is alleen een rev= nummertje aanpassen. De rest van de url heeft hij al uit het document. (ook uit het oorspronkelijke artikel te halen)
28-03-2009, 14:33 door Anoniem
Als je je documenten bij Google neerzet ben je ook wel een enorme naiveling als je denkt dat die vertrouwelijk zijn. Google zelf zal ze vast wel doorspitten om nog beter gericht te adverteren, net als ze met hun mail doen.
28-03-2009, 20:16 door Anoniem
Google geeft weinig om privacy en veiligheid is zo mijn gevoel. En ik vind het weinig nieuws als we naar het businessmodel kijken: men levert geen dienst meer voor de klant maar om de investeerders tevreden te houden. Investeerders die hun geld niet terug trekken omdat klanten toch wel blijven hangen bij het bedrijf. Gevolg is dat zo'n bedrijf achterover gaat leunen en de diensten naar eigen genoegen opzet. En als de dienst niet bevalt dan is er nog wel wat anders waar de klanten waar aan te plakken zijn.

Inhoudelijk:
Rechten stellen over je informatie gaat om wat je als eigenaar wil: personen zonder rechten mogen niet langer bij de informatie komen via de dienst waar de rechten aan gekoppeld zijn. Maar dat maakt google kennelijk niets uit, daar zijn rechten niets anders dan een woordspeling.

Je kan er dan van alles om heen verzinnen waarom het niet zou hoeven uitmaken, hoe (on)zinnig het misschien is vanwege andere mogelijkheden buiten google om of gebruik in het verleden, dat is niet van toepassing. Het gaat er om wat google doet waar je om vraagt en dat google met respect omgaat met je informatie.
28-03-2009, 23:06 door Anoniem
Door AnoniemAls je je documenten bij Google neerzet ben je ook wel een enorme naiveling als je denkt dat die vertrouwelijk zijn. Google zelf zal ze vast wel doorspitten om nog beter gericht te adverteren, net als ze met hun mail doen.
En jij denkt dat het plaatsen van prive-documenten bij je werkgever wel vertrouwelijk gebeurt? of je plaatjes en tekstjes op je personal home-page van je ISP?

Er zit een groot verschil tussen het (onder EULA) doorvlooien van bestanden omdat ze op je systemen staan en het aan jan en alleman vrijgeven van de aan jou toevertrouwde data.
Ik wil niet beweren dat Google niets met je gegevens doet. Staat zelfs in hun algemene voorwaarden dat ze de data doorvlooien om je van reclame te voorzien. Maar op het moment dat ze claimen niets meer te doen met data dan dat jij expliciet toestaat (in toevoeging van de rechten die ze claimen in hun eigen voorwaarden) mag je verwachten dat dat ook zo is.
Hier maken ze dus toch een fout.
29-03-2009, 11:44 door Anoniem
Tja, jij bent blijkbaar zo iemand die bedrijven op dit punt vertrouwd. Ik niet, en zeker geen reclamebedrijven, er zijn te veel voorbeelden van bedrijven waar dat niet goed ging en je kunt niet aan de buitenkant of aan de praatjes van PR mensen en managers zien hoe het bedrijf intern werkt. Sinds Google het door mij al jaren geblokkeerde Doubleclick overgenomen heeft vertrouw ik ze al helemaal niet verder dan ik kan zien. Ik gebruik dan ook geen gmail of Google docs.

Ik stal verder geen vertrouwelijke prive documenten bij mijn werkgever anders dan in een Truecrypt of pgp encrypted file.

En ik denk niet dat mijn ISP (Xs4all) documenten die ik in m'n homedir neerzet gaat doorsnuffelen, maar daar zet ik ook niks geheims neer. En wat ik in m'n webdir zet is uiteraard bedoeld om door de hele wereld gelezen te worden.
29-03-2009, 13:01 door Van Hoorne
Door Eerde1. Nou en ?
2. Dat is geen bug maar een feature het delen van een doc houdt in dat anderen het ook kunnen bewerken en zo heb je dus toegang tot eerdere versies.
3. In zijn eigen stukje staat: "in certain cases", QED, FUD, want er is geen nadere verklaring, net als bij de plaatjes van die Chinees, die moet de specifieke URL weten van de oude versie van het plaatje.
O, wacht, ik begin je te begrijpen. Wat overal een lek wordt genoemd, heet ineens een feature als het om Google gaat. Ja, dan is de wereld ineens een stuk veiliger nou.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.