Ispravljen ozbiljan Google docs bug
Google je potvrdio da je ispravio bug u Google docs koji je mogao da dozvoli hakerima da kradu screenshot-ove privatnih word dokumenata.
Ovaj bug je pravovremeni podsetnik o važnosti čuvanja poverljivih podataka
Google je potvrdio da je konačno zakrpio bug u Google dokumentima koja je hakerima omogućila da čitaju vaše dokumente. Greška je otkrivena još 9. jula 2020. Google nudi između 500 i 31.337 dolara za najteže napade koje su identifikovali istraživači, pa na osnovu novčane vrednosti koju je dodelio tim u Google-u, ovo očigledno nije bilo previše zabrinjavajuće. Bug je otkriven u Send Feedback i Help Docs Improve funkcijama, koje omogućavaju korisnicima da pošalju screenshot-ove i beleške o online app kako bi pomogli inženjerima u Google-u da reše probleme ili primene novu funkcionalnost koju su korisnici predložili. Kada se korisnici slože da pošalju screenshot sa svojom žalbom, image ne snimaju Google dokumenti, već Google.com.
Ovo Google-u štedi muku oko dupliranja screenshot funkcije preko njegovih brojnih onlajn aplikacija, uključujući Docs, Slides, YouTube, Maps i još mnogo toga. Umesto toga, screenshot funkcija je napravljena da obrađuje zahteve svih ovih različitih Google aplikacija. Bug u sistemu značio je da su hakeri mogli snimati screenshot-ove iz Google dokumenata koje su korisnici slali, bez njihovog znanja. To je bilo moguće zbog slabosti u strukturi URL-ova koju koristi Google, što je omogućilo predviđanje dolaznih screenshot-ova. S obzirom na to da se milioni ljudi oslanjaju na Google dokumente u obrazovanju, radu i ličnim beleškama – ovo je bilo ozbiljno pitanje. Srećom, pošto je hakovanje zahtevalo da korisnici pritisnu dugme Send Feedback u svom dokumentu, nije bilo načina da se ciljaju pojedinačni korisnici. Umesto toga, hakeri bi morali da uhvate sve što dolazi kroz sistem ili da prevare određene korisnike da kliknu na pogrešnu web lokaciju koja ih podstiče da pritisnu dugme Send Feedback.
Ovaj bug je pravovremeni podsetnik o važnosti čuvanja poverljivih podataka – poput brojeva pasoša, lozinki za onlajn prijavljivanje, bankarskih podataka, odgovora na bezbednosna pitanja za obnavljanje naloga. To obično znači ili štampanu kopiju u fioci stola kod kuće (ponekad su stari načini i dalje najbolji) ili upotrebu menadžera lozinki. Izuzetno popularne aplikacije poput 1Password i LastPass nude korisnicima mogućnost generisanja i čuvanja jedinstvenih lozinki za svaki mrežni nalog, kao i zaključavanje dokumenata u njihovom mrežnom trezoru.
Izvor: Express
