Dankzij een van de drie beveiligingslekken in Google Docs kunnen privédocumenten toch door buitenstaanders bekeken worden, zo ontdekte beveiligingsonderzoeker Ade Barkah. Google claimt echter dat de lekken geen beveiligingsrisico vormen.
Het eerste lek zorgt ervoor dat verwijderde afbeeldingen, of afbeeldingen waarvan de rechten zijn ingetrokken, toch te bereiken zijn. De aanvaller moet echter wel de juiste link in handen hebben. "Als je een document met afbeeldingen met iemand hebt gedeeld, zal die persoon altijd de afbeeldingen kunnen bekijken. Als je een afbeelding in een beveiligd document plaatst, verwacht je dat ook de afbeelding beveiligd is. Het eindresultaat is een potentieel privacylek", zo vertelt Barkah.
Het tweede lek zorgt ervoor dat gebruikers alle versies van een aangepaste afbeeldingen kunnen bekijken. Indien een gebruiker toegang heeft tot een aangepaste afbeelding, hoeft hij alleen de link aan te passen om het origineel te bekijken.
De derde kwetsbaarheid is echter het ernstigste, en daarom worden de details hiervan ook nog geheim gehouden. Indien iemand ooit toegang had tot een document in Google Docs, kan hij of zij dat document altijd blijven bekijken, ook al zijn de toegangsrechten aangepast. "Een ernstige schending van de privacy", aldus Barkah die Google op 18 maart van de problemen op de hoogte stelde maar pas op 26 maart een reactie kreeg.
13 uur geleden
