Wanneer je de IT-admin bent van je bedrijf en je gebruikt G Suite en Google Groups, dan is de kans groot dat je ongewild gegevens lekt. Volgens een onderzoek van Kenna Security lekt bijna één op drie admins gegevens via Google Groups, ook al is Google deels verantwoordelijk door onduidelijke terminologie.
In een onderzoek van Kenna Security bij 9.600 bedrijven blijkt dat 31 procent ongewild gevoelige e-mails lekt. Het securitybedrijf laat weten dat het niet de eerste keer is dat deze fout bekend wordt gemaakt. In de zomer van 2017 werden G Suite-admins al op scherp gezet, maar blijkbaar hebben weinigen hun veiligheidsinstellingen aangepast.
Google Groups
Het probleem zit hem in Google Groups, een onderdeel van G Suite. Het gebruikt complexe terminologie bij twee verschillende instellingen: ‘organisation-wide’ en ‘group-specific permissions’. Het resultaat van die onduidelijkheid is dat admins per ongeluk e-maildetails naar buiten lekken.
Wanneer een G Suite-admin een Google Group maillijst aanmaakt voor specifieke ontvangers, configureert G Suite tegelijk een web-interface voor de lijst onder https://groups.google.com. Zowel per domein als per groep zijn privacy-instellingen aanpasbaar. De grote verwarring zit hem in de instelling ‘Groups Visibility’. Wanneer je die inschakelt als ‘Public on the Internet’, worden gegevens publiek beschikbaar gesteld.
Je kan dan de gegevens inkijken via https://groups.google.com/a/[DOMAIN]/forum/#!forumsearch/ waarbij je het domein aanpast naar wat je wil zoeken. Wie zijn gegevens niet wil delen, moet in de Google Group-instelling de ‘Private’-optie kiezen.
Terminologie
De verwarring schuilt hem in de terminologie, want G Suite-admins willen natuurlijk dat gebruikers hun gegevens buiten de bedrijfsmuren willen raadplegen afgeschermd van niet-werknemers in plaats van ze privé te houden op kantoor. De G Suite-handleiding bevat duidelijke richtlijnen, maar wie die niet doorneemt, kan deze instelling fout interpreteren.
Gelekte gegevens volgens Kenna bestaan uit klantreviews, facturen, herstelwachtwoorden, reset e-mails en nog veel meer. Heel wat bedrijven hebben de instellingen fout geïnterpreteerd, waaronder: Fortune 500-bedrijven, ziekenhuizen, universiteiten, kranten en tv-stations in de V.S.
Omdat het om een configuratiefout gaat, plant Google geen aanpassingen aan G Suite. Admins weten wat doen: de handleiding lezen.
Recent kreeg de G Suite een grondige redesign. Wie er vandaag al mee aan de slag wil, kan hier onze gids volgen.