Google: да, мы сохранили ваши пароли, но совершенно случайно

Google: да, мы сохранили ваши пароли, но совершенно случайно

Компания Google публично признала, что аппаратура автомобилей, собиравших сведения для сервиса Street View, уловила и сохранила передаваемые по сетям Wi-Fi данные, в числе которых - электронные адреса, URL и пароли.



Также вице-президент инженерного направления Google Алан Юстас сообщил вчера в своем блоге, что в основном сохраненные сведения "фрагментарны", однако компания все равно намерена удалить информацию "как можно скорее". "В первую очередь я бы хотел вновь принести свои извинения за факт сбора и сохранения этих данных", - написал г-н Юстас. - "Все мы чрезвычайно подавлены и расстроены случившимся".


Google, тем не менее, по-прежнему утверждает, что сведения извлекались и хранились "по ошибке" - некий инженер разработал соответствующий код, который почему-то был введен в строй без ведома или даже вопреки желанию руководителей проекта. Независимое расследование инцидента показало, что собранная информация, помимо прочего, содержала электронные и домашние адреса, пароли, номера телефонов.


В мае г-н Юстас уведомлял общественность - опять же посредством блога - о том, что аппаратура автомобилей Street View перехватывала данные, пересылавшиеся по незащищенным Wi-Fi-сетям. Это сообщение шло вразрез с ранними заявлениями официальных лиц Google, которые утверждали, будто собирались лишь сетевые идентификаторы SSID, а также MAC-адреса устройств - для нужд геолокационных продуктов наподобие Google Maps. 


Кроме того, в последнем блог-сообщении г-на Юстаса изложены основные положения новой внутренней политики компании, которая должна предотвратить подобные инциденты в будущем. Отмечено, что исследователь Google Альма Уиттен будет отныне руководить защитой конфиденциальности и обеспечением безопасности данных в рамках одновременно двух направлений - проектирования и управления продуктами. "Ее непосредственной задачей будет следить за соблюдением норм и правил, регулирующих защиту конфиденциальности - как при создании / ведении общедоступных продуктов, так и при разработке / использовании тех или иных внутренних технологий", - подчеркнул г-н Юстас.


Также Google устами своего вице-президента выразила намерение уделить больше внимания обучению персонала, равно как и отработке навыков и умений, связанных с обеспечением надлежащей защиты персональных данных. Уже в декабре будет дан старт новой программе, в рамках которой сотрудники компании смогут больше узнать о безопасности и конфиденциальности; кроме того, руководителям инженерных проектов потребуется разрабатывать и исполнять особые документы, описывающие меры по обеспечению конфиденциальности личных сведений. Наличие такого документа будет обязательным для любого проекта; регулярно проверять и изучать его будут и менеджеры, и собственный независимый аудит.


Автомобили Google собрали около 600 ГБ данных о сетях Wi-Fi в 30 странах. По настоянию некоторых государств (в частности, Ирландии, Дании, Австрии) часть сведений уже уничтожена.


The Register

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Golden dMSA: доступ к защищенным ресурсам AD через взлом контроллера домена

Специалисты Semperis обнаружили серьезный изъян проекта Managed Service Accounts (dMSA), который существенно упрощает взлом паролей к управляемым аккаунтам и позволяет получить постоянный доступ во всем их ресурсам в доменах Active Directory.

Функциональность dMSA была введена в Windows Server 2025 для зашиты от атак на протокол Kerberos. Разработанный экспертами способ внедрения бэкдора в обход аутентификации несложен в исполнении, однако для успешной атаки придется заполучить корневой ключ службы KDS.

Из-за этого создатели Golden dMSA оценили степень угрозы как умеренную: заветный ключ доступен только из-под учетной записи с высочайшими привилегиями — администратора корневого домена, админа предприятия либо SYSTEM.

С помощью этого мастер-ключа можно получить текущий пароль dMSA или gMSA (групповой управляемый аккаунт пользователя AD) без повторного обращения к контроллеру домена. Как оказалось, для регулярно и автоматически заменяемых паролей предусмотрено лишь 1024 комбинации, и они поддаются брутфорсу.

 

Таким образом, компрометация одного контроллера домена в рамках Golden dMSA может обернуться масштабным взломом управляемых аккаунтов AD-службы. Автор атаки также получает возможность горизонтально перемещаться между доменами целевой организации.

Примечательно, что представленный Semperis метод позволяет обойти Windows-защиту Credential Guard — механизм, предотвращающий кражу учеток, NTLM-хешей и тикетов Kerberos (идентификаторов TGT).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru