Cisco 旗下的 Talos 安全情報與研究小組日前發現,企業版雲端服務 Google Apps for Work 隱私系統存在一漏洞,導致逾 28 萬名用戶的個人資料可於 WHOIS 目錄上被公開查詢,即外洩。
用戶資料或被不法份子濫用
Talos 研究人員指,曾於 2013 年於 WHOIS 資料庫上發現一批用戶資料曝光,經追查後發現資料均為 Google Apps for Work 用戶的資料。Google Apps for Work 家企業版的 Google Apps,為專門為企業設計的 Gmail、Calendar、Drive、Hangouts。此外,亦與 GoDaddy 合作提供網域註冊等服務。
據研究團隊指,曝光的資料除網域外,更包含用戶的完整姓名、地址、電話號碼及郵件位址等敏感資料。研究人員續指,Google 經 eNom 註冊的 305,925 個網域用戶中有達 282,867 個 – 約為 94% 的用戶受上述漏洞影響。
團隊續指,因是次事件而曝光的用戶可能已因與網域註冊系統資料連結而受風險所威脅,其網域資訊亦有相當的可能被網路罪犯、甚至犯罪集團使用:如將受害人姓名、地址、電話等資料加入到魚叉式網釣中以增加信件的真實性及可信度。
Google 對外表示,外洩的資料僅為註冊相關的資料,並不會危及用戶存放於 Google Apps for Work 的資料。Google 亦表示已向受影響的用戶發出通知,並指現時已採取措施以解決此問題。
Source:ZDNet