近日Cisco旗下的Talos安全情报与研究小组发现,企业版云端服务Google Apps for Work的信息隐私系统存在Bug,这个问题导致28万多名域名用户个人资料外泄。目前该漏洞已经被封堵。
Google Apps for Work是企业版Google Apps,提供包含专为企业设计的Gmail、行事历、云存储及Hangouts视频服务,也和合作方提供域名注册等服务。
研究人员指出,在2013年他们就发现有一批WHOIS资料库的用户资料曝光,曝光的信息除了域名外,还包含完整姓名、地址、电话号码及邮件位址。经过追查,这批资料均属于Google Apps for Work用户,他们通过eNom域名匿名服务公司注册域名。安全研究人员表示,在Google经由eNom注册的305,925个域名用户中,有282,867个,约94%的用户受到影响。
Google Apps失误泄露28万域名whois信息
域名管理机构ICANN要求用户注册域名时必须提供真实资料,以避免可能的所有权争议。而WHOIS即为储存所有用户注册资料的目录资料库,它预设为公开。不过用户可以多支付每年6美元通过eNom的服务隐藏自己的资料。
Google Apps失误泄露28万域名whois信息
Google已经向受影响的用户发出通知。Google解释,Google Apps用户信息选择域名隐私服务时,第一年并未包含在公开查询的WHOIS目录中,但由于Google Apps域名更新系统的软件问题,在用户第二年更新域名服务时,eNom的资料隐私注册服务未能及时跟进,导致自用户更新起,其注册信息就可在WHOIS目录上公开查询。Google已采取措施解决该问题。
安全研究人员指出,遭曝光的用户可能因为和域名注册系统相连而陷入某种危险,而其域名信息也可能被网络罪犯用于恶意用途,比如将受害者姓名、地址及电话加入到鱼叉式网钓邮件以增加可信度等。
Google对媒体表示,外泄信息仅为注册相关资料,并不会危及Google Apps for Work之中的信息。发生泄漏是因为Google Apps和Enom的域名注册程序接口之间出了问题,目前漏洞已经修复。
【点击进入“天极网企业频道”认证微博】