Beveiligingsanalist spoort drie gebreken op in Google Documenten

Een beveiligingsanalist zegt dat hij drie fouten in Google Docs heeft gevonden die privégegevens kunnen blootstellen, maar Google zei dat de problemen geen beveiligingsrisico vormen.

Google Documenten is een online suite voor kantoorproductiviteit waarmee gebruikers kunnen maken en delen tekstverwerkings- of spreadsheetdocumenten. Het is gratis voor consumenten en Google biedt ook een zakelijke versie, Google Apps, met meer functies.

Een van de fouten maakt afbeeldingen toegankelijk, zelfs als een document is verwijderd of de rechten voor delen zijn ingetrokken, schreef Ade Barkah, de oprichter van BlueWax, een consultancybedrijf voor bedrijfsapplicaties in Toronto.

[Verdere lezen: de beste tv-streamingdiensten]

Een persoon zou de juiste URL moeten hebben voor de afbeelding om toegang te krijgen, schreef Barkah. De fout laat zien dat Google Docs geen beelden beveiligt met zijn besturingselementen voor delen, schreef hij.

"Als u een document met ingesloten afbeeldingen met iemand hebt gedeeld, kan die persoon die afbeeldingen altijd bekijken", schreef hij. "Als u een afbeelding insluit in een beveiligd document, zou u verwachten dat de afbeelding ook wordt beveiligd. Het eindresultaat is een mogelijk lek in de privacy."

Het tweede probleem stelt gebruikers in staat om alle versies van een afbeelding te bekijken die zijn gewijzigd. Als een gebruiker bijvoorbeeld een deel van een afbeelding wilde bewerken en delen, zou de gebruiker die er toegang toe heeft, de URL van die afbeelding kunnen aanpassen om eerdere versies te bekijken.

Barkah schreef dat items zoals diagrammen in een raster zijn omgezet in een.PNG-afbeelding. Wanneer het diagram is aangepast, maakt Google Docs een nieuwe gerasterde afbeelding maar behoudt het oude versies met een unieke URL. Door een cijfer in de URL te veranderen, kan het oude diagram worden gezien.

Barkah vond ook een derde probleem, maar geeft er nog geen details over vrij. Het lijkt erop dat mensen die ooit toegang hadden tot iemands Google Documenten, toch toegang konden krijgen, zelfs als de toegangsrechten waren gewijzigd.

Google werd op de hoogte gebracht van de problemen op 18 maart en Barkah zei dat hij contact had met het beveiligingsteam van Google op Donderdag. In een verklaring zei Google dat ze aan het onderzoeken zijn, maar dat "we niet geloven dat er aanzienlijke beveiligingsproblemen zijn met Google Documenten."

Als dit klopt, zullen de ontdekkingen van Barkah waarschijnlijk de oproepen voeden die het bedrijf nodig heeft om een ​​grondige veiligheidsbeoordeling van zijn cloudgebaseerde applicaties.

Vorige week diende het Electronic Privacy Information Center een klacht in bij de Amerikaanse Federal Trade Commission om Google te stoppen services aan te bieden die gegevens verzamelen totdat privacycontroles kunnen worden geverifieerd.

Eerder deze maand, Google erkend dat een fout in Documenten ervoor heeft gezorgd dat sommige documenten zonder de juiste toestemming aan gebruikers zijn blootgesteld. Het probleem deed zich voor bij gebruikers die eerder gedeelde documenten hadden. Het bedrijf zei dat het invloed had op minder dan 0,05 procent van de documenten. Noot van de redactie: het percentage Google-documenten met de glitch werd gecorrigeerd op 28 maart 2008.