La empresa de respuesta a incidentes en la nube Mitiga ha publicado una investigación sobre una importante deficiencia de seguridad forense en Google Workspace que permite a los actores de amenazas exfiltrar datos en Google Drive sin dejar rastro.
El robo de datos es uno de los motivos más comunes de ataque, y con más de seis millones de empresas que utilizan Google Workspace -incluyendo Google Drive- el repositorio basado en la nube ha sido un objetivo principal para la exfiltración de datos.
Si se dispone de una licencia de pago, Google Workspace proporciona visibilidad de los recursos de Google Drive de una empresa mediante «eventos de registro de Drive», para acciones como copiar, eliminar, descargar y ver archivos. Sin embargo, por defecto, todos los usuarios de Google Drive comienzan poseyendo una licencia «Cloud Identity Free».
Para obtener más funciones, un administrador debe asignar una licencia de pago, de lo contrario no hay registros de las acciones en la unidad privada de los usuarios. Un actor de amenazas que obtenga acceso a un usuario administrador puede revocar la licencia del usuario, descargar todos sus archivos privados y reasignar la licencia. Pero lo más preocupante es que un actor de amenazas que obtiene acceso a un usuario sin licencia de pago, pero que sigue utilizando la unidad privada de la organización, puede descargar archivos sin dejar ningún registro.
Mitiga se ha puesto en contacto con el equipo de seguridad de Google pero, en el momento de redactar este artículo, no había recibido respuesta. Puedes leer más detalles sobre el fallo y cómo protegerse de la amenaza en el blog de Mitiga.
