Как ошибка в Google Диске привела к утечке данных миллиона человек

Японский разработчик игр Ateam Entertainment доказал, что простая ошибка конфигурации Google Диска может привести к потенциальному, но маловероятному раскрытию конфиденциальной информации почти миллиона человек в течение 6 лет и 8 месяцев. Японская фирма является создателем мобильных игр и приложений для производительности.

В компания Ateam сообщила пользователям своих приложений и сервисов, сотрудникам и деловым партнерам о своей находке 21 ноября 2023 года. По данным компании, с марта 2017 года для экземпляра компании в Google Диске неправильно установлено значение права доступа «Все в интернете: любой пользователь может найти файл в Google и открыть его, не входя в аккаунт Google».

Небезопасно настроенный экземпляр Google Диск содержал 1 369 файлов с личной информацией о клиентах Ateam, деловых партнерах Ateam, бывших и нынешних сотрудниках и даже стажерах и людях, подавших заявки на должность в компании. Компания Ateam подтвердила, что данные 935 779 человек были раскрыты, из них 98,9% — клиенты.

Анализ лиц, подвергшихся воздействию

Данные, предоставляемые неправильной конфигурацией, различаются в зависимости от типа отношений каждого человека с компанией и могут включать следующее:

• Полные имена;
• Адрес электронной почты;
• Телефонные номера;
• Клиентские номера;
• Идентификационные номера терминала (устройства).

Компания заявляет, что не видела конкретных доказательств того, что злоумышленники украли раскрытую информацию, но призывает людей сохранять бдительность в отношении нежелательных и подозрительных сообщений.

Если установить для файла в Google Диске значение «Все в интернете», файл будет доступен для просмотра только тем, у кого есть точный URL-адрес, обычно предназначенный для совместной работы между людьми, работающими с не конфиденциальными данными. Если сотрудник или другой пользователь, у которого есть ссылка, по ошибке опубликует ее публично, она может быть проиндексирована поисковыми системами и стать общедоступной.

Хотя маловероятно, что кто-либо самостоятельно нашел открытый URL-адрес Google Диска, это уведомление демонстрирует необходимость того, чтобы компании должным образом защищали свои облачные сервисы, чтобы предотвратить ошибочное раскрытие данных.