Google waarschuwt voor Groups-configuraties die interne data prijsgeven

Google heeft opnieuw gewaarschuwd voor Groups-configuraties waarmee organisaties mogelijk interne data prijsgeven. Aanleiding is een onderzoek van een beveiligingsbedrijf dat naar eigen schatting drieduizend organisaties vond die op deze manier interne gegevens laten uitlekken.

In zijn waarschuwing schrijft Google dat organisaties 'in een klein aantal gevallen' onbedoeld interne informatie blootstellen doordat ze hun Groups-instellingen onjuist configureren. Bedrijven gebruiken Google Groups bijvoorbeeld voor het aanmaken van mailinglijsten voor ondersteuning of het faciliteren van interne discussies, aldus de zoekgigant. De waarschuwing volgt op onderzoek van het beveiligingsbedrijf Kenna Security, dat samen met journalist Brian Krebs onderzoek deed naar onveilige configuraties.

Het bedrijf vond naar eigen zeggen 9637 organisaties die informatie prijsgaven via misconfiguraties en het schat dat een derde van deze organisaties ook gevoelige informatie laat uitlekken. Het vond bijvoorbeeld e-mails met financiële informatie en logingegevens. Volgens Kenna Security zijn de misconfiguraties te herleiden naar 'complex taalgebruik', en instellingen voor de hele organisatie en specifieke groepen. Doordat deze niet duidelijk zijn, zouden beheerders soms onbedoeld de verkeerde instelling kiezen. In de gevallen die het bedrijf onderzocht, was de groepinstelling 'public on the internet' gekozen.

Het gaat dus niet om onveilige standaardinstellingen, maar om beheerders die de verkeerde configuratie kiezen. Volgens Krebs was het in de meeste gevallen voldoende om naar de Groups-pagina van een organisatie te gaan en te zoeken naar termen als 'wachtwoord', 'account' en 'gebruikersnaam' om gevoelige gegevens te vinden. Deze gegevens zouden nuttig zijn voor kwaadwillenden, die ze kunnen inzetten bij gerichte phishingaanvallen.

gsuite-kenna
De instelling die volgens Kenna vaak verkeerd gaat

Door Sander van Voorst

Nieuwsredacteur

Feedback • 04-06-2018 11:3014

04-06-2018 • 11:30

14 Linkedin Whatsapp

Lees meer

Google geeft G Suite-beheerders waarschuwingsoptie bij aanvallen door overheden
Google geeft G Suite-beheerders waarschuwingsoptie bij aanvallen door overheden Nieuws van 2 augustus 2018
Onderzoeker vindt publiek toegankelijke server met geheime NSA-bestanden
Onderzoeker vindt publiek toegankelijke server met geheime NSA-bestanden Nieuws van 29 november 2017
Onderzoekers vinden onbeveiligde AWS-server met 600GB aan data van bedrijven
Onderzoekers vinden onbeveiligde AWS-server met 600GB aan data van bedrijven Nieuws van 1 september 2017
OneLogin-datalek was gevolg van gestolen AWS-gegevens
OneLogin-datalek was gevolg van gestolen AWS-gegevens Nieuws van 2 juni 2017
Meer producten en artikelen
Netwerk en systeembeheer Google Datalek

IT-banen

Meer vacatures

Reacties (14)

-Moderatie-faq
14
13
13
2
0
0
Wijzig sortering
matti93
4 juni 2018 11:39
Interessant hoe het blijkbaar voornamelijk om Nederlandse pagina's gaat volgend dit nieuwsbericht, anders misschien de zoektermen gewoon citeren zoals ze zijn? Juist omdat er ook Engelse termen in dit artikel tussen aanhalingstekens staan, suggereert dit artikel toch echt dat de lekken gevonden zijn met Nederlandse zoektermen.
Verder vraag ik me af in hoeverre dit nou de schuld van Google is, de instellingen zijn toch ook weer niet zo onduidelijk...
Mellow Jack
@matti934 juni 2018 12:43
Verder vraag ik me af in hoeverre dit nou de schuld van Google is, de instellingen zijn toch ook weer niet zo onduidelijk...
Is volgens mij het grootste gevaar aan dit soort public cloud diensten. Omdat het zo makkelijk lijkt vergeten veel partijen logisch na te denken bij de inrichting
Anoniem: 1322
@Mellow Jack4 juni 2018 14:47
Ik spreek uit ervaring dat er helemaal geen inrichting gedaan wordt. Ook het continue toevoegen van nieuwe features is vaak grote ellende gezien deze standaard "aan voor iedereen" staan. Systeembeheer houdt het allemaal niet in de gaten waarna een grote onoverzichtelijke bende wordt.

Moet je voorstellen dat een bedrijf in Office 365 iedereen even groepen en teams aan mag maken. Probeer maar overzicht te houden, laat staan een naming convention.

Microsoft clutter (onbelangrijke e-mail) was een mooi voorbeeld van deze ellende. Iedereen miste plotseling email dus hebben ze het maar terug gedraaid en vervangen voor "focussed inbox"

Men vergeet dat veel clouddiensten ook een verandering in werkwijze brengt. En niemand verteld de eindgebruikers dat.
Cerberus_tm
@matti934 juni 2018 15:22
Er zijn enkele aanhalingstekens gebruikt, dus ik zou ze niet letterlijk interpreteren.
daredevil__2000
4 juni 2018 11:42
Het is al sowieso discutabel waarom je wachtwoorden per e-mail of via documenten zou uitwisselen. Je ziet bij veel bedrijven dat wachtwoorden ook gewoon in de gebruikersdocumentatie genoteerd staan. Naast dat zulke documentatie soms gedeeld wordt met personen die niet over het wachtwoord zouden moeten beschikken is het ook niet echt wenselijk voor het up to date houden van de gegevens. Want ik mag toch aannemen dat je regelmatig je wachtwoorden wijzigt en dat zou betekenen dat je telkens al je documentatie bij mag gaan werken en opnieuw rond moet gaan sturen.

Wat je bij meerdere organisaties ziet is dat zulke dingen ingeregeld worden door een medewerker buiten de IT afdeling. Deze heeft het vaak bij een andere organisatie gezien en vindt het handig om dat ook binnen hun eigen organisatie te gaan gebruiken en regelt het dus wel even allemaal zelf in zonder verder met de IT afdeling te overleggen.
Gomez12
@daredevil__20004 juni 2018 13:23
Wat is een beter alternatief als er een nieuwe klant zich bij ons aansluit en dat er dan in 1 dag 300 accounts aangemaakt moeten worden?

Uiteraard staan al die account wel zo ingesteld dat de gebruiker het wachtwoord moet wijzigen bij 1e keer inloggen, maar ik ben heel benieuwd hoe ik anders een massa-users kan uitgeven...
daredevil__2000
@Gomez124 juni 2018 16:51
Dan heb je er al een heel stuk beter over nagedacht dan sommige anderen. En waarschijnlijk dat tegen de tijd dat die documenten een keer uitgelekt zijn naar mensen die deze niet horen te hebben zijn de betreffende wachtwoorden al lang gewijzigd/verlopen.

Het gescheiden communiceren van wachtwoord en account is eventueel ook een optie

Helaas zijn er genoeg documenten online te vinden waarbij het om wachtwoorden gaat welke (semi) permanent zijn.
Sorcerer8472
4 juni 2018 11:54
Het hele groups-systeem bij Google met z'n onhandige/klunzige koppeling met e-mail is ook niet handig. De opbouw van het systeem werkt dit soort problemen in de hand en een fatsoenlijk en eenvoudig te gebruiken e-mail aliasing systeem zou veel beter zijn zodat groups alleen écht worden gebruikt waar ze voor bedoeld zijn.
GhostShinigami
@Sorcerer84724 juni 2018 12:31
Zeker, Het is echt een groot gemis dat aliassen via dit bar slechte systeem moeten lopen, wat eigenlijk helemaal niet bedoeld is om als alias gebruikt te worden (met alle problemen van dien), maar helaas als je google mail gebruikt (zakelijk) ontkom je er niet aan. En het is erg omslachtig werken met die groups als je gewoon een simple alias wil.
Sorcerer8472
@GhostShinigami4 juni 2018 16:17
Er zijn wel andere mogelijkheden trouwens maar die zijn op z'n zachtst gezegd niet gebruiksvriendelijk, dus via Groups is het meest handig. Maar inderdaad, beetje verkeerd configureren en bijvoorbeeld je info@ adres dat voor 2 man bedoeld is, ligt ineens helemaal op straat.

Vind het een beetje raar dat mijn bericht naar 0 wordt gemod terwijl het volgens mij superrelevant is, maar goed, Tweakers-moderatie... :+
SenkZ
4 juni 2018 12:33
Het is ook interessant dat "public on the internet" de default instelling is. Wellicht had deze "configuratie fout" minder voorgekomen wanneer "private" de default optie geweest was voor nieuwe groups.
SunnieNL
@SenkZ4 juni 2018 15:37
Gezien Google zegt dat het default goed staat en beheerders het verkeerd zetten en bij het plaatje staat dat de instellingen daar op juist niet kloppen, lijkt het me dat de default al private is?
Slavy
4 juni 2018 11:35
Wat ik niet uit het bericht kan halen is of het een pushnotificatie naar de admins bij inloggen was of alleen een blogpost. Hoop toch dat Google een pushnotificatie heeft gedaan.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee