Google: да, мы сохранили ваши пароли, но совершенно случайно

Компания Google публично признала, что аппаратура автомобилей, собиравших сведения для сервиса Street View, уловила и сохранила передаваемые по сетям Wi-Fi данные, в числе которых - электронные адреса, URL и пароли.



Также вице-президент инженерного направления Google Алан Юстас сообщил вчера в своем блоге, что в основном сохраненные сведения "фрагментарны", однако компания все равно намерена удалить информацию "как можно скорее". "В первую очередь я бы хотел вновь принести свои извинения за факт сбора и сохранения этих данных", - написал г-н Юстас. - "Все мы чрезвычайно подавлены и расстроены случившимся".


Google, тем не менее, по-прежнему утверждает, что сведения извлекались и хранились "по ошибке" - некий инженер разработал соответствующий код, который почему-то был введен в строй без ведома или даже вопреки желанию руководителей проекта. Независимое расследование инцидента показало, что собранная информация, помимо прочего, содержала электронные и домашние адреса, пароли, номера телефонов.


В мае г-н Юстас уведомлял общественность - опять же посредством блога - о том, что аппаратура автомобилей Street View перехватывала данные, пересылавшиеся по незащищенным Wi-Fi-сетям. Это сообщение шло вразрез с ранними заявлениями официальных лиц Google, которые утверждали, будто собирались лишь сетевые идентификаторы SSID, а также MAC-адреса устройств - для нужд геолокационных продуктов наподобие Google Maps. 


Кроме того, в последнем блог-сообщении г-на Юстаса изложены основные положения новой внутренней политики компании, которая должна предотвратить подобные инциденты в будущем. Отмечено, что исследователь Google Альма Уиттен будет отныне руководить защитой конфиденциальности и обеспечением безопасности данных в рамках одновременно двух направлений - проектирования и управления продуктами. "Ее непосредственной задачей будет следить за соблюдением норм и правил, регулирующих защиту конфиденциальности - как при создании / ведении общедоступных продуктов, так и при разработке / использовании тех или иных внутренних технологий", - подчеркнул г-н Юстас.


Также Google устами своего вице-президента выразила намерение уделить больше внимания обучению персонала, равно как и отработке навыков и умений, связанных с обеспечением надлежащей защиты персональных данных. Уже в декабре будет дан старт новой программе, в рамках которой сотрудники компании смогут больше узнать о безопасности и конфиденциальности; кроме того, руководителям инженерных проектов потребуется разрабатывать и исполнять особые документы, описывающие меры по обеспечению конфиденциальности личных сведений. Наличие такого документа будет обязательным для любого проекта; регулярно проверять и изучать его будут и менеджеры, и собственный независимый аудит.


Автомобили Google собрали около 600 ГБ данных о сетях Wi-Fi в 30 странах. По настоянию некоторых государств (в частности, Ирландии, Дании, Австрии) часть сведений уже уничтожена.


The Register

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

VMware устранила критическую RCE-уязвимость в vCenter Server

Компания VMware выпустила обновления для платформы vCenter Server, устранив две уязвимости. Одна из них признана критической, поскольку позволяет удаленно и без аутентификации выполнить произвольный код.

Решение vCenter Server предоставляет ИТ-админу интерфейс для централизованного управления серверами и виртуальными машинами, с возможностью расширения локальной среды до публичных облаков на базе VMware vSphere. Наличие RCE-уязвимости в такой платформе грозит захватом контроля над системой и несанкционированным доступом к информации о виртуальной инфраструктуре предприятия.

Брешь, зарегистрированную под идентификатором CVE-2021-21972, обнаружил эксперт Positive Technologies Михаил Ключников. Согласно описанию VMware, эксплуатация этой уязвимости возможна при наличии сетевого доступа к порту 443. В случае успеха автор атаки сможет выполнить любую команду в системе с неограниченными привилегиями.

Виновником появления критической дыры является клиентский плагин к движку vROps (vRealize Operations, решение для автоматизации операций), который по умолчанию установлен на всех серверах vCenter. Ввиду большой площади атаки, простоты эксплойта и серьезности последствий степень опасности проблемы была оценена в 9,8 балла по шкале CVSS.

«По нашему мнению, RCE-уязвимость в vCenter Server составляет не меньшую угрозу, чем печально известная CVE-2019-19781 в Citrix», — заявил Ключников, комментируя свою находку для The Hacker News.

Патчи выпущены для vCenter Server веток 7.0, 6.7 и 6.5. Пользователям рекомендуется незамедлительно установить сборку 7.0 U1c, 6.7 U3l или 6.5 U3n соответственно. При отсутствии такой возможности можно ограничить возможность эксплойта, следуя инструкциям, приведенным в KB82374.

Вторая уязвимость, закрытая в vCenter Server (CVE-2021-21973), не столь опасна. Это возможность подмены запросов на стороне сервера (SSRF), которая возникла из-за некорректной реализации проверки URL в клиентском плагине платформы.

Разработчики также исправили опасную ошибку переполнения буфера в гипервизоре VMware ESXi (CVE-2021-21974; 8,8 балла), грозящую выполнением вредоносного кода. Эксплойт в данном случае осуществляется подачей по сети особого запроса по протоколу SLP.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru