Google Groups 配置错误导致数百家企业机密数据在线曝光

HackerNews.cc 24 日消息，安全公司 RedLock 研究人员发现 Google Groups 在线服务出现配置错误，导致 IBM’s Weather Company 、Fusion Media Group、协助桌面支持服务提供商 Freshworks 与视频广告平台 SpotX 等数百家企业机密数据在线曝光。

Google Groups 作为企业协作工具与交流平台，负责团队通信维护与邮件管理。当这些电子邮件组被设置为公开状态而非内部共享时，无需成为内部成员即可公开查看成员之间发送的内部消息。

RedLock 研究人员发现，此次事件致使受害企业员工电子邮件地址与内容，以及员工薪酬补偿、销售渠道数据、客户密码、姓名与家庭地址等个人身份信息在线泄露，可供全球用户任意查看。

值得深思的是，引发这起数据泄露事件并非安全漏洞，仅是 Google Groups 功能设置。但这一事件表明，任何一次操作疏忽都将对企业产生毁灭性影响。一旦网络犯罪分子获取这些企业信息，就可用来劫持企业帐户、开展网络钓鱼攻击以及在线泄露敏感谈话内容等。

目前，为防止数据信息再次泄露，研究人员建议各企业立即检查 Google Groups 设置，以确保域名访问权限切换至内部成员使用。

原作者：Charlie Osborne，译者：青楚，译审：游弋

from hackernews.cc.thanks for it.