Het gaat dus om voicemails die bewust door de eigenaars online gepubliceerd zijn. Google indexeert dat, want dat is hun werk. Dat is niet raar of fout.

Verwaarloosbaar?
Ik vind het toch echt niet kunnen dat voicemail zomaar door iedereen te bekijken zou zijn. En dat het nu "maar" bij 31 mensen gebeurde... dat zijn er dus 31 te veel!

Ik vind het wel redelijk verwaarloosbaar, aangezien de personen waar deze voicemails van waren hun link ernaar ergens op het internet hebben geplaatst waar het door google geindexeerd kon worden... Dit is mijns inziens niet de fout van google maar van de betreffende personen.

"Hoewel het volgens de zoekgigant om een verwaarloosbaar incident gaat, besloot het drie weken geleden om dit soort links niet meer te indexeren. Google was dus eerder op de hoogte van het probleem dan de website die dit meldde. Wie een voicemail voortaan wil delen, zal hiervoor een speciale embed code moeten gebruiken, die niet indexeerbaar is."

Ehm. Met andere woorden, Google indexeert de links niet meer, maar past nog steeds geen authenticatie toe. Een typisch geval van security by obscurity waarbij je dus toegang krijgt tot gegevens van derden zodra je de URL weet. Verder denk ik dat Google toch nog eens goed moet nadenken over het statement dat dit om een verwaarloosbaar incident gaat.

"Ik vind het wel redelijk verwaarloosbaar, aangezien de personen waar deze voicemails van waren hun link ernaar ergens op het internet hebben geplaatst waar het door google geindexeerd kon worden... Dit is mijns inziens niet de fout van google maar van de betreffende personen."

Indien je toegang kon krijgen tot de voicemail van deze 31 personen, dan houdt dat in dat je ook toegang kunt krijgen tot de voicemail van alle andere gebruikers. Immers wordt er geen degelijke vorm van authenticatie toegepast wanneer je door het klikken op de link de voicemail kunt afluisteren.

Veiligheid bereik je niet door onveilige systemen op te zetten en vervolgens ervoor te zorgen dat deze onveilige links niet worden geindexeerd.

Inderdaad, en daarom is het dus niet verwaarloosbaar.

Op mijn werk heb ik toegang tot de logs van alle proxies. Dat betekent dat ik op basis van deze logs in theorie van iedere collega die Google Voicemail gebruikt de linkjes kan terugzoeken, en deze doodleuk kan gaan zitten afluisteren, ook al zijn deze links nergens in search engines geindexeerd.

Ik doe dit niet, omdat ik dit moreel niet aanvaardbaar vind, maar Google verschaft mij wel de mogelijkheid. Ieder persoon die, ergens op internet, netwerkverkeer weet te sniffen van mensen die deze dienst gebruiken, kan de links eveneens zien en gebruiken.

Niet dus ! Deze mensen hebben er zelf voor gekozen de unieke link op een openbaar blog te plaatsen. Dan moet je niet gaan piepen als Google dat indexeert.
@Vandaag,12:14 door Anoniem
Ja en ? Als ik b.v. fysiek toegang heb tot de telefooncentrale kan ik ook iedereen afluisteren.... dus ?

@ Eerde :

"Ja en ? Als ik b.v. fysiek toegang heb tot de telefooncentrale kan ik ook iedereen afluisteren.... dus ?"

Deze unieke link is op tal van manieren te bemachtigen. Iedereen die d.m.v. sniffing, gehackte mailboxen of logfiles aan zo'n link kan komen, kan toegang krijgen tot de voicemail van derden. Het gaat daarbij dus zowel om hackers, als ook om misbruik van informatie door mensen binnen bedrijven en bij providers doordat ze in logfiles kunnen terugzoeken welke links collega's of klanten hebben bezocht.

Natuurlijk is het goed dat deze links niet langer worden geindexeerd, maar dat is geen oplossing voor dit probleem. Dat jij dat allemaal best vindt moet je natuurlijk geheel zelf weten, maar het systeem is absoluut niet veilig.

"Niet dus ! Deze mensen hebben er zelf voor gekozen de unieke link op een openbaar blog te plaatsen. Dan moet je niet gaan piepen als Google dat indexeert."

Het probleem is niet in de eerste plaats dat de link geindexeerd wordt, maar dat je via deze link zonder authenticatie bij de gegevens kunt komen. Zoals reeds aangegeven zijn er talloze manieren om aan een niet-geindexeerde link te komen, en als men zorgt voor een degelijke authenticatie, dan is zo'n link nutteloos voor kwaadwillenden.

Err... Het is niet Google die je die mogelijkheid geeft. Als jij geen toegang tot de proxy logs hebt op je werk had je er nooit bij gekunt.

En behalve dat het "moreel niet aanvaardbaar" is is het ook nog eens bij wet verboden (het misbruiken van de gegevens die je in die logs gevonden hebt).

"Err... Het is niet Google die je die mogelijkheid geeft. Als jij geen toegang tot de proxy logs hebt op je werk had je er nooit bij gekunt."

Daar gaat het helemaal niet om, het gaat erom dat je op basis van opgeslagen links zonder authenticatie toegang kunt krijgen tot deze dienst. Indien een systeem wordt gehacked dan kan je de links ook uit de history van de browser halen (of deze informatie geautomatiseerd vergaren via malware die zich hierop richt, via sniffen / mitm attacks enzovoort).

In een internetcafe kan je ook bijvoorbeeld van andere bezoekers de links terugvinden indien men de history niet na ieder bezoek schoonmaakt. Dat je vervolgens kunt stellen dat een internetcafe de zaken niet op orde heeft, ontslaat Google toch ook niet van de plicht om de dienst zo te beveiligen dat je de daar gevonden informatie niet kunt gebruiken om toegang tot de dienst.

Dat het misbruik van informatie illegaal is, of dit nou komt door misbruik van informatie door beheerders van systemen van een bedrijf, of door informatie vergaard via hacking activiteiten, moge duidelijk zijn.

Je hebt het artikel niet goed gelezen of begrepen. Nogmaals;
Nergens staat dat je alle voicemail van iemand kan beluisteren of lezen als je op onwettige manier jezelf toegang hebt verschaft tot email accounts, sniffing of gecracte zaken en zo die link hebt bemachtigt. Stelliger je kan dan alleen dat specifieke bericht horen/zien. Deze 31 links waren enkel zelf door die mensen op het web geplaatst dus sowieso openbaar ! Het indexeren had er dus niets mee te maken, behalve als zoekopdracht.

"Nergens staat dat je alle voicemail van iemand kan beluisteren of lezen als je op onwettige manier jezelf toegang hebt verschaft tot email accounts, sniffing of gecracte zaken en zo die link hebt bemachtigt. "

Je snapt er nog steeds geen drol van. Ik stel dat Google ervoor moet zorgen dat je niet enkel op basis van die link toegang tot deze voicemail berichten dient te kunnen krijgen zonder authenticatie. Daarbij noem ik een aantal voorbeelden op basis waarvan mensen zo'n link kunnen bemachtigen, waarna ze toegang tot zo'n bericht kunnen krijgen. Indien Google de zaken op orde heeft, dan is zo'n link nutteloos als je niet over de inloggegevens beschikt.

"Stelliger je kan dan alleen dat specifieke bericht horen/zien."

Klopt, beweer ik ergens iets anders ?

"Deze 31 links waren enkel zelf door die mensen op het web geplaatst dus sowieso openbaar ! Het indexeren had er dus niets mee te maken, behalve als zoekopdracht."

Dat is mij geheel duidelijk. Maar indien je deze links niet indexeert, dan bestaan er nog steeds tal van mogelijkheden om deze te bemachtigen en hier misbruik van de maken. Een search engine is slechts een voorbeeld van een informatiebron, en er zijn vele manieren om deze links te bemachtigen, en vervolgens hier misbruik van te maken doordat Google niet vereist dat iemand is ingelogd om de link te kunnen bekijken.

"Het indexeren had er dus niets mee te maken, behalve als zoekopdracht."

Het indexeren heeft er in zoverre mee te maken dat hierdoor duidelijk is geworden dat je met behulp van deze links toegang kunt krijgen tot Google Voice berichten. De links zijn nu verwijderd, maar de zwakke beveiliging is niet verholpen.

"Je hebt het artikel niet goed gelezen of begrepen. Nogmaals;"

Ik heb het artikel goed gelezen, en goed begrepen. En je reactie laat wederom zien dat je niet snapt wat het daadwerkelijk probleem is. De vulnerability is niet dat de links in Google waren geindexeerd; de vulnerability is dat je via deze link zonder authenticatie toegang tot het bericht krijgt.

Onzin dat is juist de bedoeling ! Niet een optie verwarren met een beveiligingslek. Die link is er zodat je het eea kan delen met derden. Als je dat delen dus openbaar doet kan iedereen dat zien/horen, juist zoals het hoort.

@ Eerde:

Dat bepaald gedrag by design is, wil nog niet zeggen dat het veilig is. Wat dat betreft kan men dit beter anders doen. En de reactie nu is eerder een workaround dan een mitigation tegen dit risico. Ik beoordeel dagelijks projectplannen vanuit security perspectief, en dit soort zaken zou ik zeker naar kijken. Dat een of enkele personen toegang dienen te krijgen wil nog niet zeggen dat je het op dusdanige wijze moet doen dat iedereen die zo'n link in handen krijgt ook toegang moet krijgen.

Het zou Google dan ook sieren als ze niet alleen de URL's verwijderen uit de search engine (wat om verschillende redenen weinig effectief is, zie voorgaande reacties + de aanvulling m.b.t. de gevonden resultaten op Yahoo), maar ook de kern van het probleem aanpakken. Je kan immers ook de applicatie zo inrichtingen dat je weliswaar toegang verschaft aan andere mensen, maar waarbij er wel sprake is van authenticatie, om toegang voor onbevoegden te verhinderen.

'Als je dat delen dus openbaar doet kan iedereen dat zien/horen, juist zoals het hoort.'

Als jij iets met mij wilt delen, dan deel je het met de hele wereld 'omdat dat zo hoort' ? Volgens mij 'hoort' dat alleen zo wanneer je deze informatie met de hele wereld wilt delen.

Marco Meerman. IT Professional vraagt zich af:

Kan een hacker achter mij linkadressen "berekenen" of "raden" of "genereren", zodat hij al mijn vertrouwelijke documenten kan inzien door de WEB URL te openen?

Ik bedoel: Hackers maken keygens, dus een generator die WEB URL's maakt op basis van een algoritme, is net zo makkelijk.

Of mijn "beveiligde" afbeeldingen in Picasa, door de links te achterhalen. Is dat WEB URL- principe wel zo veilig?

"Kan een hacker achter mij linkadressen "berekenen" of "raden" of "genereren", zodat hij al mijn vertrouwelijke documenten kan inzien door de WEB URL te openen? "

Dat kan wel, al is de string erg lang en complex. Dus brute force hacking gaat lang duren, maar het wordt wat anders als je via spyware of andere malware favorites lekt, als je computer gehacked wordt, als je in een internet cafe zit waar ze de history niet wissen, of als je verbinding gesniffed wordt d.m.v. een man-in-the-middle attack.

Indien de bewaarplicht wordt uitgebreid zodat deze alsnog, zoals aanvankelijk de bedoeling was, de URL's opslaat van dit soort diensten, dan kan de overheid ook via die links zich toegang verschaffen tot alle bezochte voicemail berichten of 'beveiligde' Picasa afbeeldingen. Indexering in zoekmachines kan intentioneel gebeuren, doordat mensen publiek op websites plaatsen. Iedereen die een beetje verstand heeft van Google Hacking zal zich echter ook realiseren dat indexering van informatie lang niet altijd bewust plaats vindt, waardoor dergelijke links ook onbedoeld gedeeld kunnen worden met de buitenwereld.

Dus om je vraag te beantwoorden - Dat WEB URL-principe is niet veilig omdat het opgeslagen is in de cache van de browser, in logbestanden van firewalls, proxies, content filtering appliances, intrusion systemen en dergelijke, omdat informatie die unencrypted over het internet gaat ook ergens onderschept kan worden en omdat informatie onbedoeld geindexeerd kan worden door zoekmachines.

Jullie gaan met zijn allen voorbij aan het feit dat van het gesprek een transcriptie plaatsvindt!!!!!!!!!!!!!!!!!!!!!!!!!!


Google downplayed dit verhaal om de juiste reden; verhullen dat je privegesprekken "geindexeerd" wordt.

Dit zou hetzelfde zijn alsof KPN alle telefoongesprekken zou opnemen, een transcriptie maken en eventuele (kopende) adverteerders een profiel van je interesses en gesprekken laat samenstellen.

Vergeet die links, concentreer je op het juiste onderdeel van het verhaal!

Een stelletje trollen op /g/ mailde een aantal blogs, technoratie en een paar andere nieuwssites en sindsdien is dit ineens enorm opgeblazen. Google heeft gelijk dat het niets nieuws was en dat je niet linkjes naar je voicemail ergens op een site moet zetten.

Achterlijk dat er zoveel mensen hier ingetuind zijn.