Cisco旗下的Talos安全情報與研究小組發現,企業版雲端服務Google Apps for Work的資訊隱私系統存在一隻臭蟲,導致28萬多名網域用戶個人資料外洩。

 
研究人員指出,在2013年中他們發現到有一批WHOIS資料庫的用戶資料曝光,經過追查,這批資料皆是屬於Google Apps for Work用戶,他們經由eNom這家網域匿名服務公司註冊網域名。曝光的資訊除了網域外,還包含完整姓名、地址、電話號碼及郵件位址。安全研究人員表示,在Google經由eNom註冊的305,925個網域用戶中,有282,867個,約94%的用戶受到影響。
 
網域主管機關ICANN要求使用者註冊網域時必須提供真實資料,以因應可能的所有權爭議之用。而WHOIS即為儲存所有用戶註冊資料的目錄資料庫,它預設為公開。但透過eNom的服務,使用者可以多支付每年6美元隱去自己的資料。
 
Google已經向受影響的用戶發出通知。Google解釋,Google Apps用戶資訊選擇網域隱私服務時,第一年並未包含在公開查詢的WHOIS目錄中,但由於Google Apps網域更新系統的軟體瑕疵,在用戶第二年更新網域服務時,eNom的資料隱私註冊服務未能跟著展延。因此自使用者更新起,其註冊資訊就可在WHOIS目錄上公開查詢。Google並表示已經採取矯正措施解決這項問題。
 
安全研究人員指出,遭曝光的用戶可能因為和網域註冊系統相連而陷入某種危險境地,而其網域資訊也可能被網路罪犯用於惡意用途,像是把受害者姓名、地址及電話加入到魚叉式網釣信件以增加信件的可信度。
 
雖然眾所周知WHOIS註冊資料可以輕易造假,但這些資訊仍然可被用來散佈威脅。例如他們發現許多曝光的網域的網路信譽評分極低,表示可能有不法情事在暗中進行著。
 
Google Apps for Work是企業版Google Apps,提供包含專為企業設計的Gmail、行事曆、雲端硬碟及Hangouts視訊服務,也和GoDaddy合作提供網域註冊等服務。Google對媒體表示,外洩的僅僅為註冊相關資料,並不會危及Google Apps for Work之中的資訊。(編譯/林妍溱)

 

熱門新聞

Advertisement