Google应用程序漏洞泄露28万用户域数据[更新]

日期:2018-06-12 浏览:12

据Ars Technica报道,自2013年以来,刚刚发现Google通过其Google工作服务应用程序注册的近28万个网站泄露了个人数据。Cisco系统研究人员在一篇博客文章中披露了这一漏洞。与大多数漏洞不同,这些漏洞是在数据库安全的弱点处故意进行的黑客攻击,这些数据只是提供给在WHOIS目录(注册域的公共数据库)中搜索的任何人。

广告泄漏是由Googles软件中的一个漏洞引起的,该漏洞开始披露2013年年中更新注册的域名的个人数据,包括姓名、电话号码和物理地址。默认情况下,这些数据是公开的,而Work servicea的应用程序是一套面向企业客户的工具,它提供了一项可选的每年6美元的功能,可以隐藏这些数据并将其存储在Google合作伙伴注册服务商eNom中。在注册的305,925个域名中,94 %购买了年度隐私功能,但软件缺陷导致数据在域名更新后立即公开,正如思科安全研究人员报告中提供的以下信息图表所示,到2013年底,几乎所有注册的域名都将被包括在内:

。思科系统研究人员在其帖子中指出,泄露的数据将永久在线提供,因为许多服务将它存档。正如Ars Technica指出的那样,注册域名时填写的一些数据可能是伪造的,但是可以收集和分析足够的模式来指向真实的人。不幸的是,每月6美元的可选安全服务可能会给一些用户带来虚假的信任,并可能导致他们共享的个人数据比原本更多。

根据Ars Technica,Ciscos Talos安全情报和研究小组于2月19日发现了该漏洞,5天后,漏洞被堵塞。虽然这些数据没有像黑客先前泄露的数据那样向大众公布,但这种软件监管令人担忧,尤其是因为它近两年都没有被注意到。

更新: Google发言人伸出手来分享这一声明:

:一名安全研究员最近通过我们的漏洞奖励计划报告了影响Google应用程序与Enom域注册API集成的缺陷。我们确定了根本原因,进行了适当的修复,并与受影响的应用程序客户进行了沟通。我们为这可能引起的任何问题道歉。“

[经Pando Daily ]