Datadrifter di Spyglass Security è un nuovo motore di ricerca che trova i bucket di Google Cloud lasciati aperti. Se fate sign-in con un account Google, scegliete Explore e poi Images, troverete davvero di tutto. Attenzione: molte immagini e molti video sono assolutamente non adatti ad ambienti con minori o luoghi di lavoro. Questa è la schermata più safe for work che sono riuscito a catturare (e anche così ho dovuto mascherarne una parte).
Notate in basso a destra l’immagine di quello che sembra essere un impianto di lettura automatica di indirizzi postali, con buona pace di GDPR, leggi sulla privacy, sicurezza informatica e compagnia bella.
Datadrifter offre anche una funzione di ricerca, in versione semplice o avanzata. La versione a pagamento (da 20 dollari/mese in su) permette di approfondire la ricerca, ma non ho ancora provato: devo ancora sciacquarmi gli occhi per le cose che ho visto.
Nella ricerca semplice è sufficiente immettere il nome di un bucket trovato per esempio nella sezione Explore per ottenere un elenco di file come questo, che riguarda il lettore di indirizzi postali:
Sono tentato di abbonarmi per vedere cosa trova. Qualcuno di voi lo conosceva già e lo ha già provato?
Secondariamente: ma quanto bisogna essere incompetenti per lasciare un bucket Google Cloud leggibile dal mondo intero?
2019/08/06 23:40
La versione a pagamento permette di vedere molto di più: scansando a fatica l’ondata di immagini pornografiche, emergono decine di immagini di documenti personali, alcuni dei quali anche italiani, e di screenshot di transazioni di acquisto, con nomi, cognomi, date e importi. Ho trovato il nome di almeno una delle aziende che sta mettendo online questi documenti.
Un clic destro sull’immagine seguito da Copy Image Location permette di risalire al bucket e verificare che l’immagine è realmente accessibile a chiunque, come in questo caso volutamente innocuo (la foto di un cane). Gli URL sembrano essere tutti del tipo https://www.googleapis.com/download/storage/v1/b/[nome del bucket]/o/[path][nomefile][parametri].
Fra i nomi dei bucket ho notato welo, cluster-media, simplestorage, phil-videos, piratebay-pics (decisamente NSFW), appstore-assets, nextpro, mastodon, imwork, alarabiya-assets, vidooly, symphonyimages, fcc-photos, chinatimes, store-production e altri ancora.
Nello screenshot qui sotto ho coperto io i dati sensibili, che negli originali sono perfettamente leggibili:
Ora sarebbe interessante trovare il modo di sapere a quali aziende appartengono questi bucket colabrodo e contattarle per sapere se la visibilità è consapevole e intenzionale o se è un errore gravissimo da correggere.
Nessun commento:
Posta un commento