Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Google waarschuwt voor Groups-configuraties die interne data prijsgeven

Google heeft opnieuw gewaarschuwd voor Groups-configuraties waarmee organisaties mogelijk interne data prijsgeven. Aanleiding is een onderzoek van een beveiligingsbedrijf dat naar eigen schatting drieduizend organisaties vond die op deze manier interne gegevens laten uitlekken.

In zijn waarschuwing schrijft Google dat organisaties 'in een klein aantal gevallen' onbedoeld interne informatie blootstellen doordat ze hun Groups-instellingen onjuist configureren. Bedrijven gebruiken Google Groups bijvoorbeeld voor het aanmaken van mailinglijsten voor ondersteuning of het faciliteren van interne discussies, aldus de zoekgigant. De waarschuwing volgt op onderzoek van het beveiligingsbedrijf Kenna Security, dat samen met journalist Brian Krebs onderzoek deed naar onveilige configuraties.

Het bedrijf vond naar eigen zeggen 9637 organisaties die informatie prijsgaven via misconfiguraties en het schat dat een derde van deze organisaties ook gevoelige informatie laat uitlekken. Het vond bijvoorbeeld e-mails met financiŽle informatie en logingegevens. Volgens Kenna Security zijn de misconfiguraties te herleiden naar 'complex taalgebruik', en instellingen voor de hele organisatie en specifieke groepen. Doordat deze niet duidelijk zijn, zouden beheerders soms onbedoeld de verkeerde instelling kiezen. In de gevallen die het bedrijf onderzocht, was de groepinstelling 'public on the internet' gekozen.

Het gaat dus niet om onveilige standaardinstellingen, maar om beheerders die de verkeerde configuratie kiezen. Volgens Krebs was het in de meeste gevallen voldoende om naar de Groups-pagina van een organisatie te gaan en te zoeken naar termen als 'wachtwoord', 'account' en 'gebruikersnaam' om gevoelige gegevens te vinden. Deze gegevens zouden nuttig zijn voor kwaadwillenden, die ze kunnen inzetten bij gerichte phishingaanvallen.

De instelling die volgens Kenna vaak verkeerd gaat

Door Sander van Voorst

Nieuwsredacteur

04-06-2018 • 11:30

14 Linkedin Google+

Reacties (14)

Wijzig sortering
Interessant hoe het blijkbaar voornamelijk om Nederlandse pagina's gaat volgend dit nieuwsbericht, anders misschien de zoektermen gewoon citeren zoals ze zijn? Juist omdat er ook Engelse termen in dit artikel tussen aanhalingstekens staan, suggereert dit artikel toch echt dat de lekken gevonden zijn met Nederlandse zoektermen.
Verder vraag ik me af in hoeverre dit nou de schuld van Google is, de instellingen zijn toch ook weer niet zo onduidelijk...
Verder vraag ik me af in hoeverre dit nou de schuld van Google is, de instellingen zijn toch ook weer niet zo onduidelijk...
Is volgens mij het grootste gevaar aan dit soort public cloud diensten. Omdat het zo makkelijk lijkt vergeten veel partijen logisch na te denken bij de inrichting
Ik spreek uit ervaring dat er helemaal geen inrichting gedaan wordt. Ook het continue toevoegen van nieuwe features is vaak grote ellende gezien deze standaard "aan voor iedereen" staan. Systeembeheer houdt het allemaal niet in de gaten waarna een grote onoverzichtelijke bende wordt.

Moet je voorstellen dat een bedrijf in Office 365 iedereen even groepen en teams aan mag maken. Probeer maar overzicht te houden, laat staan een naming convention.

Microsoft clutter (onbelangrijke e-mail) was een mooi voorbeeld van deze ellende. Iedereen miste plotseling email dus hebben ze het maar terug gedraaid en vervangen voor "focussed inbox"

Men vergeet dat veel clouddiensten ook een verandering in werkwijze brengt. En niemand verteld de eindgebruikers dat.
Er zijn enkele aanhalingstekens gebruikt, dus ik zou ze niet letterlijk interpreteren.
Het is al sowieso discutabel waarom je wachtwoorden per e-mail of via documenten zou uitwisselen. Je ziet bij veel bedrijven dat wachtwoorden ook gewoon in de gebruikersdocumentatie genoteerd staan. Naast dat zulke documentatie soms gedeeld wordt met personen die niet over het wachtwoord zouden moeten beschikken is het ook niet echt wenselijk voor het up to date houden van de gegevens. Want ik mag toch aannemen dat je regelmatig je wachtwoorden wijzigt en dat zou betekenen dat je telkens al je documentatie bij mag gaan werken en opnieuw rond moet gaan sturen.

Wat je bij meerdere organisaties ziet is dat zulke dingen ingeregeld worden door een medewerker buiten de IT afdeling. Deze heeft het vaak bij een andere organisatie gezien en vindt het handig om dat ook binnen hun eigen organisatie te gaan gebruiken en regelt het dus wel even allemaal zelf in zonder verder met de IT afdeling te overleggen.
Wat is een beter alternatief als er een nieuwe klant zich bij ons aansluit en dat er dan in 1 dag 300 accounts aangemaakt moeten worden?

Uiteraard staan al die account wel zo ingesteld dat de gebruiker het wachtwoord moet wijzigen bij 1e keer inloggen, maar ik ben heel benieuwd hoe ik anders een massa-users kan uitgeven...
Dan heb je er al een heel stuk beter over nagedacht dan sommige anderen. En waarschijnlijk dat tegen de tijd dat die documenten een keer uitgelekt zijn naar mensen die deze niet horen te hebben zijn de betreffende wachtwoorden al lang gewijzigd/verlopen.

Het gescheiden communiceren van wachtwoord en account is eventueel ook een optie

Helaas zijn er genoeg documenten online te vinden waarbij het om wachtwoorden gaat welke (semi) permanent zijn.
Het hele groups-systeem bij Google met z'n onhandige/klunzige koppeling met e-mail is ook niet handig. De opbouw van het systeem werkt dit soort problemen in de hand en een fatsoenlijk en eenvoudig te gebruiken e-mail aliasing systeem zou veel beter zijn zodat groups alleen ťcht worden gebruikt waar ze voor bedoeld zijn.
Zeker, Het is echt een groot gemis dat aliassen via dit bar slechte systeem moeten lopen, wat eigenlijk helemaal niet bedoeld is om als alias gebruikt te worden (met alle problemen van dien), maar helaas als je google mail gebruikt (zakelijk) ontkom je er niet aan. En het is erg omslachtig werken met die groups als je gewoon een simple alias wil.
Er zijn wel andere mogelijkheden trouwens maar die zijn op z'n zachtst gezegd niet gebruiksvriendelijk, dus via Groups is het meest handig. Maar inderdaad, beetje verkeerd configureren en bijvoorbeeld je info@ adres dat voor 2 man bedoeld is, ligt ineens helemaal op straat.

Vind het een beetje raar dat mijn bericht naar 0 wordt gemod terwijl het volgens mij superrelevant is, maar goed, Tweakers-moderatie... :+
Het is ook interessant dat "public on the internet" de default instelling is. Wellicht had deze "configuratie fout" minder voorgekomen wanneer "private" de default optie geweest was voor nieuwe groups.
Gezien Google zegt dat het default goed staat en beheerders het verkeerd zetten en bij het plaatje staat dat de instellingen daar op juist niet kloppen, lijkt het me dat de default al private is?
Wat ik niet uit het bericht kan halen is of het een pushnotificatie naar de admins bij inloggen was of alleen een blogpost. Hoop toch dat Google een pushnotificatie heeft gedaan.

Op dit item kan niet meer gereageerd worden.


Call of Duty: Black Ops 4 HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S9 Dual Sim Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True