Llegamos a ustedes gracias a:



Alertas de Seguridad

Google Docs

Analista de seguridad detecta tres fallas

[27/03/2009] Un analista de seguridad afirma que ha encontrado tres fallas en Google Docs que podrían exponer datos privados, pero Google ha señalado que el tema en cuestión no implica un riesgo a la seguridad.

Google Docs es una suite de productividad de oficina en línea que permite a los usuarios crear y compartir documentos de procesamiento de textos u hojas de cálculo. Es gratuito para los clientes, y Google también ofrece una versión empresarial, Google Apps, con más características.
Una de las fallas permite que las imágenes sean accesibles incluso si un documento ha sido borrado o los derechos para compartirlos han sido revocados, escribe Ade Barkah, fundador de BlueWax, consultora en aplicaciones empresariales de Toronto.
El que quiera acceder a la imagen tendría que tener la URL exacta, escribe Barkah. La falla muestra que Google Docs no protege las imágenes con sus controles para compartir archivos, escribió.
Si has compartido un documento que contiene imágenes incorporadas, la persona con quien lo has compartido siempre podrá ver esas imágenes, escribió. Si incorporas una imagen en un documento protegido, también esperas que la imagen se encuentre protegida. El resultado final es una potencial filtración de seguridad.
El segundo problema permite a los usuarios ver todas las versiones de una imagen que ha sido modificada. Por ejemplo, si un usuario quiere editar parte de una imagen y compartirla, el usuario que tiene acceso a ella puede modificar la URL de esa imagen para ver las versiones previas.
Barkah escribió que algunos objetos como los diagramas son rasterizados a una imagen .PNG. Cuando el diagrama es modificado, Google Docs crea una nueva imagen rasterizada pero preserva las versiones antiguas con una única URL. Cambiando un número en la URL, puede verse el diagrama antiguo.
Barkah también encontró un tercer problema pero no revela detalles de él aún. Parece que permite a las personas que alguna vez tuvieron acceso al Google Docs, seguir teniendo acceso incluso si los derechos de acceso han sido cambiados.
Google fue notificado de estos temas el 18 de marzo, y Barkah señala que estuvo en contacto con el equipo de seguridad de Google el jueves. En una declaración, Google ha señalado de que están investigando pero que no creemos que haya significativos problemas de seguridad con Google Docs.
Si son exactos, los descubrimientos de Barkah probablemente alimenten los pedidos de que la compañía necesita realizar una exhaustiva revisión de seguridad de sus aplicaciones de nube.
La semana pasada, el Centro para la Información Privada Electrónica presentó una queja solicitando la Comisión Federal de Comercio de los Estados Unidos detener a Google para que deje de ofrecer servicios que recolectan datos hasta que los controles de privacidad puedan ser verificados.
A inicios de este mes, Google reconoció que una falla en Docs causó que algunos documentos hayan quedado expuestos a usuarios que carecían del permiso necesario. El problema ocurrió entre los usuarios que previamente habían compartido documentos. La compañía dijo que esto afectó a menos del 0,5% de los documentos.
Jeremy Kirk, IDG News Service (London Bureau)