Datadrifter: motore di ricerca per bucket di Google Cloud trova dati privati a palate

[ZEUS News - www.zeusnews.it - 09-08-2019]

Datadrifter di Spyglass Security è un nuovo motore di ricerca che trova i bucket di Google Cloud lasciati aperti. Se fate sign-in con un account Google, scegliete Explore e poi Images, troverete davvero di tutto.

Attenzione: molte immagini e molti video sono assolutamente non adatti ad ambienti con minori o luoghi di lavoro. Questa è la schermata più safe for work che sono riuscito a catturare (e anche così ho dovuto mascherarne una parte).

Notate in basso a destra l'immagine di quello che sembra essere un impianto di lettura automatica di indirizzi postali, con buona pace di GDPR, leggi sulla privacy, sicurezza informatica e compagnia bella.

Datadrifter offre anche una funzione di ricerca, in versione semplice o avanzata. La versione a pagamento (da 20 dollari/mese in su) permette di approfondire la ricerca, ma non ho ancora provato: devo ancora sciacquarmi gli occhi per le cose che ho visto. L'articolo continua qui sotto.

Sondaggio

Fai uso del pagamento contactless?

Leggi i commenti (28)

Nella ricerca semplice è sufficiente immettere il nome di un bucket trovato per esempio nella sezione Explore per ottenere un elenco di file come questo, che riguarda il lettore di indirizzi postali:

Sono tentato di abbonarmi per vedere cosa trova. Qualcuno di voi lo conosceva già e lo ha già provato?

Secondariamente: ma quanto bisogna essere incompetenti per lasciare un bucket Google Cloud leggibile dal mondo intero?

La versione a pagamento permette di vedere molto di più: scansando a fatica l'ondata di immagini pornografiche, emergono decine di immagini di documenti personali, alcuni dei quali anche italiani, e di screenshot di transazioni di acquisto, con nomi, cognomi, date e importi. Ho trovato il nome di almeno una delle aziende che sta mettendo online questi documenti.

Un clic destro sull'immagine seguito da Copy Image Location permette di risalire al bucket e verificare che l'immagine è realmente accessibile a chiunque, come in questo caso volutamente innocuo (la foto di un cane). Gli URL sembrano essere tutti del tipo https://www.googleapis.com/download/storage/v1/b/[nome del bucket]/o/[path][nomefile][parametri].

Fra i nomi dei bucket ho notato welo, cluster-media, simplestorage, phil-videos, piratebay-pics (decisamente NSFW), appstore-assets, nextpro, mastodon, imwork, alarabiya-assets, vidooly, symphonyimages, fcc-photos, chinatimes, store-production e altri ancora.

Nello screenshot qui sotto ho coperto io i dati sensibili, che negli originali sono perfettamente leggibili:

Ora sarebbe interessante trovare il modo di sapere a quali aziende appartengono questi bucket colabrodo e contattarle per sapere se la visibilità è consapevole e intenzionale o se è un errore gravissimo da correggere.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.

Paolo Attivissimo

Commenti all'articolo (ultimi 5 di 6)

etabeta

Anche se sono la famosa eccezione che conferna la regola. :roll: Leggi tutto
11-8-2019 11:10

{paleo}

Concordo con pietro1953, senza essere razzista né radical chic. E' questione di età, dopo una vita passata a sentire di politica, a lavorare con altre persone in molte aziende diverse e in Paesi diversi, ad osservare il ripetersi ciclico degli stessi schemi, posso dire senza tema di sbagliare e senza essere uno... Leggi tutto
10-8-2019 11:24

pietro1953

Sarò anche razzista e radical chic, ma per me tentare di difendere la gente dalla propria imbecillità è un'impresa persa a priori
9-8-2019 22:05

{Alberto}

Ma infatti la versione Free non trova una cippa.
9-8-2019 14:47

{Silver}

In realtà avevi già pagato per la "pro", con l'account free non ti permette affatto fare ricerche. :-D
9-8-2019 08:04

Leggi gli altri 1 commenti nel forum Sicurezza
Inserisci un commento - anche se NON sei registrato

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.


Editoriale(13 commenti) Caso Paragon: i soliti servizi segreti deviati?	News(14 commenti) Iliad, voci di fusione con TIM

News(10 commenti)

WhatsApp, la chat con ChatGPT ora è più semplice

News(10 commenti)

Windows 11, Microsoft rimuove le istruzioni per aggirare i requisiti

Flash(9 commenti)

Iliad, è arrivata l'app per smartphone

News(9 commenti)

Seagate, dischi usati venduti per nuovi

E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.

Hai a disposizione ancora caratteri. Per inserire commenti più lunghi (e senza CAPTCHA), iscriviti.
Il tuo nome:		La tua email: