Google: да, мы сохранили ваши пароли, но совершенно случайно

Google: да, мы сохранили ваши пароли, но совершенно случайно

Компания Google публично признала, что аппаратура автомобилей, собиравших сведения для сервиса Street View, уловила и сохранила передаваемые по сетям Wi-Fi данные, в числе которых - электронные адреса, URL и пароли.



Также вице-президент инженерного направления Google Алан Юстас сообщил вчера в своем блоге, что в основном сохраненные сведения "фрагментарны", однако компания все равно намерена удалить информацию "как можно скорее". "В первую очередь я бы хотел вновь принести свои извинения за факт сбора и сохранения этих данных", - написал г-н Юстас. - "Все мы чрезвычайно подавлены и расстроены случившимся".


Google, тем не менее, по-прежнему утверждает, что сведения извлекались и хранились "по ошибке" - некий инженер разработал соответствующий код, который почему-то был введен в строй без ведома или даже вопреки желанию руководителей проекта. Независимое расследование инцидента показало, что собранная информация, помимо прочего, содержала электронные и домашние адреса, пароли, номера телефонов.


В мае г-н Юстас уведомлял общественность - опять же посредством блога - о том, что аппаратура автомобилей Street View перехватывала данные, пересылавшиеся по незащищенным Wi-Fi-сетям. Это сообщение шло вразрез с ранними заявлениями официальных лиц Google, которые утверждали, будто собирались лишь сетевые идентификаторы SSID, а также MAC-адреса устройств - для нужд геолокационных продуктов наподобие Google Maps. 


Кроме того, в последнем блог-сообщении г-на Юстаса изложены основные положения новой внутренней политики компании, которая должна предотвратить подобные инциденты в будущем. Отмечено, что исследователь Google Альма Уиттен будет отныне руководить защитой конфиденциальности и обеспечением безопасности данных в рамках одновременно двух направлений - проектирования и управления продуктами. "Ее непосредственной задачей будет следить за соблюдением норм и правил, регулирующих защиту конфиденциальности - как при создании / ведении общедоступных продуктов, так и при разработке / использовании тех или иных внутренних технологий", - подчеркнул г-н Юстас.


Также Google устами своего вице-президента выразила намерение уделить больше внимания обучению персонала, равно как и отработке навыков и умений, связанных с обеспечением надлежащей защиты персональных данных. Уже в декабре будет дан старт новой программе, в рамках которой сотрудники компании смогут больше узнать о безопасности и конфиденциальности; кроме того, руководителям инженерных проектов потребуется разрабатывать и исполнять особые документы, описывающие меры по обеспечению конфиденциальности личных сведений. Наличие такого документа будет обязательным для любого проекта; регулярно проверять и изучать его будут и менеджеры, и собственный независимый аудит.


Автомобили Google собрали около 600 ГБ данных о сетях Wi-Fi в 30 странах. По настоянию некоторых государств (в частности, Ирландии, Дании, Австрии) часть сведений уже уничтожена.


The Register

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Две уязвимости в Node.js ставят под удар миллионы Windows-приложений

Кураторы проекта Node.js из OpenJS Foundation выпустили обновления с патчами в ветках 24.x, 22.x и 20.x. Апдейты устраняют проблемы, актуальные для приложений Windows и веб-сервисов, использующих JavaScript-движок V8.

По оценкам экспертов, затронуты миллионы серверных и полнофункциональных приложений. Уровень угрозы в обоих случаях определен как высокий.

Уязвимость CVE-2025-27210 представляет собой возможность обхода защиты от path traversal (выхода за пределы рабочего каталога), которая проявляется при использовании API-функции path.join() и возникла из-за неполного патча для CVE-2025-23084.

Ошибка в реализации функции path.normalize() позволяет получить несанкционированный доступ к файлам и папкам с помощью недопустимого имени — такого как CON, PRN, AUX (в Windows резервируются для системных устройств, к которым можно обратиться напрямую).

Уязвимость CVE-2025-27209 классифицируется как HashDoS — возможность вызвать отказ приложения (DoS) через создание множественных коллизий хешей. Проблема была привнесена с выпуском Node.js 24.0.0, который изменил алгоритм вычисления хешей строк.

Реализованная в движке V8 хеш-функция rapidhash ускорила процесс, но при этом также открыла дверь для атак HashDoS. Злоумышленник, контролирующий ввод строк для хеширования, может скормить в хеш-таблицу данные таким образом, чтобы все они попали в один слот.

В результате скорость поиска элементов и вставки новых коллизий упадет, а потребление памяти будет расти, что в итоге приведет к DoS. Знания зерна алгоритма для генерации хеш-коллизий в данном случае не потребуется.

Патчи для Node.js включены в состав сборок 20.19.4, 22.17.1 и 24.4.1. Организациям, использующим Windows-приложения на основе Node.js, рекомендуется приоритизировать обновление.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru