В Google Drive найдена уязвимость

Александр Панасенко 24 Октября 2012 - 14:32

...

Если у пользователя на компьютере установлена программа Google Drive, то любой посторонний может легко зайти в его Google Account, а после этого — получить доступ ко всем личным документам, электронной почте и ежедневнику.

Специалисты по безопасности предупреждают, что эта «уязвимость» присутствует во всех версиях программы, то есть в десктопных клиентах под Windows и Mac OS X. Злоумышленнику нужно только получить физический доступ к компьютеру, запустить программу Google Drive, если она ещё не запущена, нажать правой кнопкой по пиктограмме в панели задач — и выбрать пункт меню "Visit Google Drive on the web" («Открыть Диск Google в Интернете»), пишет xakep.ru.

Программа не спрашивает пароль ни при запуске, ни при входе в Google Account через браузер. В данном случае не сработает даже двухфакторная аутентификация. Клиент Google Drive спрашивает пароль только при установке в системе, а после этого работает как настоящий полноценный бэкдор, без всяких паролей.

По мнению специалистов, подобный способ доступа к Google Account представляет определённую опасность, потому что даже если пользователь специально нажал кнопку «Выйти» (Sign Out) в веб-интерфейсе, то программа Google Drive всё равно предоставит полный доступ. Наличие такого бэкдора существенно облегчает работу троянов.

Разумеется, единственной защитой в таком случае должно быть использование паролей при загрузке ОС и на выход из спящего режима, и пользователи должны следить, чтобы никто посторонний не имел доступа к компьютеру.

Следующая главная новость »

Защита данных от утечек: что сегодня реально работает?
Регистрируйтесь на эфир!

Яков Шпунт 11 Марта 2026 - 16:53

Соответствие законодательству РФ Общее Защита персональных данных Соответствие требованиям регуляторов

Минцифры утвердило подготовку требований о предоставлении обезличенных ПДн

Минцифры опубликовало приказ, который регламентирует порядок предоставления операторами персональных данных сведений, полученных в результате их обезличивания, в ГИС «Единая информационная платформа национальной системы управления данными» (ЕИП НСУД).

Приказ №173 опубликован на сайте ведомства. Сам документ и приложения к нему доступны для загрузки в одном из двух форматов: PDF или Microsoft Word.

Как напомнили в Минцифры, требования к обезличиванию персональных данных, а также методы и правила такого обезличивания в случаях, когда оператор получает соответствующее требование от министерства, были утверждены постановлением правительства № 1154 от 1 августа 2025 года. Нынешний приказ развивает положения пунктов 3 и 6 этого постановления.

Минцифры вправе запрашивать у операторов обезличенные персональные данные в случаях, предусмотренных постановлением правительства № 538 от 24 апреля 2025 года.

Перечень таких случаев ограничен. В него входят чрезвычайные ситуации различного характера, введение режима чрезвычайного положения, а также карантинные меры, связанные с инфекционными заболеваниями.

Требование о предоставлении обезличенных данных должно содержать перечень запрашиваемых сведений и сроки их передачи. В такой перечень входят наименования атрибутов, формат предоставления данных и критерии выборки — например, категория абонентов, сведения о которых подлежат анализу, территория анализа, глубина сбора данных или временной период.

Защита данных от утечек: что сегодня реально работает?
Регистрируйтесь на эфир!