Security Week 39: безопасность и банальные ошибки
На прошлой неделе специалист по безопасности Авинаш Джайн обнаружил (новость, оригинальный блогпост) в общем доступе сотни пользовательских календарей в сервисе Google Calendar. Такие календари индексируются поисковыми сервисами, и в самом Гугле доступны по простому запросу типа inurl:https://calendar.google.com/calendar?cid=.
Информация о встречах, конференц-звонках и важных переговорах оказалась публичной из-за элементарной ошибки пользователей в настройках календаря: вместо того чтобы делиться данными с конкретными пользователями, они делали календарь доступным для всех. В Google прокомментировали историю, заявив, что они не при чем, а действия пользователей — добровольные. Однако через неделю большинство результатов из поиска все же исчезли.
Далеко не первый раз при обсуждении подобных проблем происходят попытки найти крайнего: то ли разработчики интерфейса вводят пользователей в заблуждение, то ли сами пользователи не ведают, что творят. А дело вовсе не в том, кто виноват, а в том, что даже простые ошибки при защите данных нужно исправлять. Хотя они и не так интересны, как сложносочиненные уязвимости. За прошедшую неделю накопилось сразу несколько примеров элементарных просчетов: в менеджере паролей LastPass, в локскрине iPhone (опять!), а также в магазине расширений Google Chrome, допускающем появление вредоносных блокировщиков рекламы.
Читать дальше →
Информация о встречах, конференц-звонках и важных переговорах оказалась публичной из-за элементарной ошибки пользователей в настройках календаря: вместо того чтобы делиться данными с конкретными пользователями, они делали календарь доступным для всех. В Google прокомментировали историю, заявив, что они не при чем, а действия пользователей — добровольные. Однако через неделю большинство результатов из поиска все же исчезли.
Далеко не первый раз при обсуждении подобных проблем происходят попытки найти крайнего: то ли разработчики интерфейса вводят пользователей в заблуждение, то ли сами пользователи не ведают, что творят. А дело вовсе не в том, кто виноват, а в том, что даже простые ошибки при защите данных нужно исправлять. Хотя они и не так интересны, как сложносочиненные уязвимости. За прошедшую неделю накопилось сразу несколько примеров элементарных просчетов: в менеджере паролей LastPass, в локскрине iPhone (опять!), а также в магазине расширений Google Chrome, допускающем появление вредоносных блокировщиков рекламы.
Читать дальше →
Источник: Хабрахабр
Похожие новости
- Постквантовая криптография для современной почты
- Как работает безопасность, когда никто никому не доверяет — Zero Trust на пальцах
- Централизация биткойн-майнинга в 2025 году: концентрация хешрейта усиливается
- Новости кибербезопасности за неделю с 19 по 25 мая 2025
- [Перевод] Преступный ИИ уже существует, и он доступен любому
- [Перевод] Postman логирует все ваши секреты и переменные окружения
- Math Agency: Google AI Mode: новая модель поиска, которая меняет всё
- Атака клонов или темная сторона Open Source
- А вам точно нужно делать и продвигать приложение? Два главных вопроса бизнесу перед разработкой
- Гайд по криптостойкости, как защитить наши данные