Google gruplarında önemli bir güvenlik açığı tespit edilmiştir, bu da kullanıcıların grup adreslerine e -posta göndererek dosya ek kısıtlamalarını atlatmalarını sağlar.
Bu kırık erişim kontrol sorunu, kontrollü bilgi paylaşımı ve işbirliği için Google gruplarına dayanan binlerce kuruluşu potansiyel olarak etkilemektedir.
Ph.Hitachi kısa süre önce iki Google grubu özellikleri arasındaki bir bağlantıyı kullanan güvenlik açığını gözlemledi: bağlantı izinleri ve e -posta gönderme özellikleri.
.png
)
Google Grupları Ek Bypass Güvenlik Açığı
Teknik rapora göre, grup yöneticileri dosya yükleme izinlerini “yalnızca sahiplerle” açıkça kısıtlamalarda bile, normal üyeler grubun e -posta adresine ek olan bir e -posta göndererek bu kısıtlamayı atlayabilir.
“E -posta gönderisine izin ver” ayarı bu güvenlik açığının merkezindedir. Bu ayar, üyelerin doğrudan grubun adresine e -posta göndererek tartışmalara katkıda bulunmalarını sağlar (genellikle [email protected]).
Bu özellik daha kolay katılımı kolaylaştırırken, grubun ayarlarında yapılandırılan ek kısıtlamalarını uygulanamaz.
Raporda, grup ayarı yalnızca sahiplerin dosya ekleyebileceğini belirtirse, ekin engellenmesi gerektiğine dikkat çekiyor. Kısıtlamaya rağmen ekin başarıyla yayınlandığı gerçek sonuca karşı beklenen davranışı vurgular.
Bu güvenlik açığı için üreme adımları basittir:
- Sınırlı ek izinleri olan bir Google Grubu oluşturun
- Grup üyeleri için “e -posta göndermesine izin ver” ayarını etkinleştirin
- Normal bir üye olarak, grup adresine ek olan bir e -posta gönderin
- Kısıtlamalara rağmen ekin başarıyla yayınlandığını gözlemleyin
Bu güvenlik açığı, izin kontrollerinin aynı kaynağa farklı erişim yöntemleri arasında tutarsız bir şekilde uygulandığı klasik bir kırık erişim kontrolü sorununu temsil eder.
Bu güvenlik açığının, hassas iletişim için Google gruplarını kullanan işletmeler ve kuruluşlar için önemli sonuçları olabilir.
Son araştırmalara göre, 9.600’den fazla kuruluş, yanlış yapılandırılmış Google Grup ayarları nedeniyle zaten veri sızıntıları yaşadı. Bu yeni keşfedilen bypass yöntemi, Google çalışma alanı yöneticileri için güvenlik yönetişimini daha da karmaşıklaştırıyor.
Güvenlik uzmanları, gizli bilgilere maruz kalmayı sınırlamak için kapsamlı erişim kontrollerinin uygulanmasını ve uygun veri kategorizasyonunun uygulanmasını önermektedir.
Bu keşif, Google gibi endüstri liderleri için bile bulut tabanlı işbirliği platformlarında birbirine bağlı özellikler arasında tutarlı güvenlik kontrollerinin sürdürülmesinde devam eden zorlukları vurgulamaktadır.
Google çalışma alanı yöneticileri için, grup yapılandırmalarını düzenli olarak gözden geçirmenin ve e -posta gönderimi gibi görünüşte yararlı özelliklerin potansiyel güvenlik sonuçlarını anlamanın önemini vurgular.
Find this News Interesting! Follow us on Google News, LinkedIn, & X to Get Instant Updates!