Google Docs: Nově objevené chyby ohrožují bezpečnost souborů

29. 3. 2009

Sdílet

Bezpečnostní analytik tvrdí, že objevil tři závady ve službě Google Docs, které mohou ohrozit soukromá data, ovšem Google namítá, že tyto problémy nepředstavují žádnou hrozbu.

Google Docs je online kancelářská služba, která dovoluje uživatelům vytvářet a sdílet textové nebo tabulkové dokumenty. Pro spotřebitele je zdarma a společnost také nabízí verzi pro firmy s více možnostmi. Jedna z chyb umožňuje přístup k obrázkům, i když už byl dokument smazán nebo byla zrušena práva ke sdílení, napsal Ade Barkah, zakladatel společnosti BlueWax.

Uživatel potřebuje mít pouze správnou URL adresu k přístupu k obrázku, píše dále Barkah. Tato porucha dokazuje, že Google Docs dostatečně nezabezpečuje sdílení obrázků. "Pokud jste někdy s někým sdíleli dokument s obrázky, tak tato osoba bude mít vždy možnost je vidět," tvrdí Barkah. "Pokud přidáte obrázek do zabezpečeného dokumentu, čekáte, že i obrázek bude zabezpečen. Jde o možné prozrazení soukromí."

Druhý problém způsobuje, že uživatelé mohou vidět všechny verze obrázku, který byl změněn. Například, pokud chcete změnit část obrázku a sdílet ho, osoby, které mají přístup k tomuto obrázku mohou změnit URL a vidět předchozí verzi. Barkah také píše, že věci jako diagramy jsou převedeny do .png obrázku. Když se diagram změní, Google Docs vytvoří nový obrázek, ale uchová starou verzi s unikátní URL. Když bychom měnili znaky v URL, uvidíme starý diagram.

Ade Barkah dále objevil ještě jeden problém, ale zatím neobjasnil detaily. Víme jen, že se jedná se o to, že lidé, kteří měli jednou přístup k Google Docs datům nějakého uživatele, je mají stále, i když přístupová práva byla změněna.

Google se dozvěděl o problémech 18. března a Barkah říká, že byl ve spojení s bezpečnostním týmem firmy ve čtvrtek. Ve zprávě společnost uvádí, že věc vyšetřuje, ale nevěří, že existují nějaké závažné bezpečnostní problémy ve službě Google Docs. Určitě by ale nebylo špatné, kdyby Google prozkoumal bezpečnost svých cloud computing služeb.

Jak jste již mohli číst v našem článku Jsou služby nabízené Googlem bezpečné?, minulý týden Electronic Privacy Information Center poslalo U.S. Federal Trade Commission žádost, aby zakázala firmě Google nabízet služby, které sbírají data, dokud nebude prokázáno, že jsou tyto data v bezpečí.

Na začátku tohoto měsíce dokonce Google přiznal, že kvůli chybě byly některé dokumenty přístupny i uživatelům bez potřebných práv. Problém se týkal zákazníků, kteří již dříve sdíleli dokumenty a zasáhl méně než 0,5 procenta dokumentů.