«Корпорация добра» сама дала киберпреступникам карт-бланш на похищение данных.
Исследователи по кибербезопасности из компании Mitiga обнаружили серьезную уязвимость в Google Workspace, которая позволяет злоумышленникам скачивать файлы из Google Drive без каких бы то ни было следов в системных журналах. Это создаёт весьма реальный риск утечки данных для предприятий, узнать о которой компании смогут лишь тогда, когда их начнут шантажировать.
Уязвимость заключается в том, что для пользователей Google Workspace с бесплатной лицензией Cloud Identity Free не создаются логи диска, в которых были бы зафиксированы действия с файлами. Однако у пользователей с платной лицензией Google Workspace Enterprise Plus такие логи, разумеется, создаются. Данный факт делает организации буквально слепыми к потенциальным атакам с эксфильтрацией данных. И это касается не только мелких организаций, которые не могут себе позволить лицензию, проблема куда серьёзнее.
«В Google Workspace бесплатная лицензия используется по умолчанию при добавлении нового пользователя в ваш домен, что означает, что даже при оплаченной корпоративной лицензии, вы не будете получать никаких журналов активности с личного диска новых пользователей. Это основная проблема, потому что без этих журналов вы не сможете увидеть пользователей, потенциально загружающих данные на свой личный диск», — объяснил Ор Аспир, руководитель команды исследований по облачной безопасности компании Mitiga
«Если у частных пользователей без платной лицензии есть разрешения на доступ к некоторым общим дискам компании, они могут скопировать файлы с общего диска на свой собственный. А затем, когда пользователь будет скачивать эти скопированные файлы уже со своего диска, компания не получит никаких логов или уведомлений об этом», — добавил Аспир.
Исследователи выделили два основных сценария атак. Первый заключается в компрометации конкретной учётной записи действующего сотрудника предприятия. Хакер может отозвать лицензию взломанной учётной записи, скопировать с общего диска необходимые данные (ведь ранее выданные доступы никуда не исчезают после отзыва лицензии) и скачать их уже со «своего» диска.
Когда дело сделано, злоумышленник повторно назначает лицензию. При таком сценарии единственные записи в журнале, которые будут созданы — это отзыв и повторное назначения лицензии. И даже если это будет выглядеть подозрительно, или сотрудник заметит взлом своего аккаунта, никто уже не узнает, какие именно данные были похищены.
Второй сценарий — внутренняя атака. Если затаивший обиду сотрудник покидает компанию, он может заранее «втихую» скопировать все необходимые ему корпоративные данные на собственный диск, пока у него ещё есть доступ. А затем, когда его уволят, а лицензию отзовут, он сможет скачать со своего диска все эти данные без какого-либо уведомления для компании.
Исследователи связались с Google по поводу этой проблемы, но пока не получили ответа. Mitiga предложила предприятиям временные меры — проводить регулярные поиски угроз в Google Workspace и следить за любой активностью пользователей.
Исследователи также рекомендуют организациям обращать внимание на определенные действия в функции Admin Log Events, такие как события о назначении и отзыве лицензий. «Если эти события происходят очень быстро, это может свидетельствовать о том, что киберпреступники проникли в вашу среду», — предупредили специалисты.
Организации также могут добавить события типа «source_copy» в программное обеспечение для поиска угроз, чтобы оперативно зафиксировать случай, когда сотрудник или злоумышленник скопирует файлы с общего диска на частный.
«В целом, организации должны понимать, что если существует пользователь с бесплатной лицензией, он может беспрепятственно скопировать и скачать любые данные организации и не создать при этом каких-либо событий в журнале активности», — подытожил Аспир, добавив: «Будьте очень осторожны с пользователями внутри предприятия, которые не имеют платной лицензии».
Большой взрыв знаний каждый день в вашем телефоне