Deficiencia forense en Google Workspace podría causar filtración de datos

Una deficiencia forense en Google Workspace podría permitir que los actores de amenazas manipulen o roben datos sin ser detectados.

Un nuevo problema de seguridad, desconocido hasta ahora, ha sido identificado en Google Workspace, el cual podría permitir que los datos se filtren desde Google Drive sin dejar rastro. Esta revelación, divulgada por investigadores de Mitiga Security Inc., muestra que la vulnerabilidad se debe a una deficiencia forense, la cual permite que los datos se extraigan sin generar un registro de dicha actividad. El problema afecta específicamente a los usuarios que no cuentan con una licencia empresarial de pago para Google Workspace.

Por defecto, todos los usuarios de Google Drive inician con una licencia “Cloud Identity Free”. A menos que un administrador asigne una licencia de pago a un usuario, no se registran las acciones que este lleva a cabo dentro de su unidad privada en Drive. Esta falta de visibilidad puede ser aprovechada por actores malintencionados para manipular o robar información sin ser detectados.

La vulnerabilidad puede ser explotada de dos maneras. Primero, si la cuenta de un usuario se ve comprometida, un actor malicioso puede manipular la licencia del usuario para acceder y descargar archivos privados, dejando solo registros de revocación y reasignación de licencias. En segundo lugar, la vulnerabilidad puede ser explotada durante el proceso de revocación de una licencia de pago dirigida a empleados. Si la licencia se revoca antes de deshabilitar la cuenta, esta podría descargar archivos sensibles de una unidad privada sin ser detectada.

Los investigadores de Mitiga, como parte de una divulgación responsable, contactaron a Google antes de hacer públicos sus hallazgos, pero, según indican, aún no han recibido respuesta. Recomiendan monitorear regularmente los eventos de registro de administración en Google Workspace, enfocándose en las acciones de asignación y revocación de licencias. Cambios repentinos en estas áreas podrían indicar una posible amenaza. Si estas acciones ocurren en rápida sucesión, podría sugerir que un actor malicioso está manipulando las licencias, señalan los expertos.

Según señalan, la falta de controles de seguridad y de registro de eventos en Google Workspace deja a los usuarios expuestos a posibles amenazas, con prácticamente ninguna visibilidad sobre quién o qué puede acceder a los datos. Es por ello que se destaca la importancia de que las organizaciones tengan políticas y herramientas específicas para hacer frente a este tipo de brechas de seguridad en aplicaciones de software como servicio.


Únase a la conversación

Contacto | Diario TI es una publicación de MPA Publishing International Ltd., Reino Unido. © Copyright 1997-2022