Google的云计算,你真的安全吗?

安全
如果你是Google文档的用户,在不知情的情况下,你的许多文件突然出现在别人的账户里,别人可以随便查看,这时,你会有什么感受?
Google文档在3月7日发生了大批用户文件外泄事件。美国隐私保护组织就此提请政府对Google采取措施,使其加强云计算产品的安全性。

  

[[1218]]

 

云计算可以让用户在全球任何一个角落更新文档,并与他人共享。

如果你是Google文档的用户,在不知情的情况下,你的许多文件突然出现在别人的账户里,别人可以随便查看,这时,你会有什么感受?

这不是一个假想。3月7日,全球众多的Google文档用户就十分错愕地发现别人的文档居然“不期而至”。

这些用户打开账户后,发现了不少陌生的文件。事实上,这些陌生文件的主人此时可能还不知道,自己的文件已经“共享”给了别人。

当天,Google发现了这个问题并迅速进行了处理。此后,用户再打开账户时,一切恢复正常,只是多了一封Google的致歉信。

不过,专注于隐私保护的组织这次没有放过Google。3月17日,美国的电子隐私信息中心(Electronic Privacy Information Center,下称EPIC)向监管机构申诉,Google的云计算产品在保护用户隐私方面做的不够,要求对Google进行调查。同时,EPIC要求FTC(Federal Trade commission,联邦贸易委员会)禁止Google提供云计算服务,直到后者的安全措施落实到位。

云计算已经越来越成为我们生活的一部分。这方面,Google做得最大,已有的云软件包括:Gmail、Google文档、桌面搜索、Picasa照片在线存储和Google日历等。今年2月,Google还发布了Google Voice,它可以把电话声音邮件传输到指定的邮箱。

Google的“云”是否足够安全,确实值得我们用户好好关心一下。

安全漏洞

3月7日,遭遇信息外泄的Google文档用户都收到了落款为“Google文档小组”的致歉信。

“亲爱的Google文档用户,我们想让你知道你的Google文档账户发生的事。我们已经发现并修改了一个漏洞,它让你在不知情的情况下,把你的文件与别人分享。”信在开头说。

Google说,出现问题的文件占全部文件的0.05%。考虑到Google文档的用户数量庞大,问题文件的绝对数量十分可观。

据Google宣称,这些文件意外泄露给的对象,限于现在或以前与你曾经有过分享关系的人。泄露的文件限于Docs和Presentations,对于Spreadsheets没有影响。

Google通过一个自动的程序,把受到影响的文件的分享者予以了屏蔽。因而,如果这些文件原本是与别人分享的,用户本人需要手工再去作一次分享的操作。Google则把受到影响的文件为用户单列了出来。

最后,Google作了诚挚的道歉。

但是,隐私组织EPIC对于Google的道歉并不买账。EPIC执行董事Marc Rotenberg在声明中说,Google文档的数据泄露表明,Google安全措施的不足,云计算服务存在风险。

3月17日,EPIC向FTC递交了申诉材料。

在材料中,EPIC说,在本次事件之前,已经发生过数起事件,足以证明Google安全防范措施的不足。

2005年1月,研究者发现了Gmail里的几个安全漏洞,令用户名和密码很容易被盗窃,外来者可以窥探用户的电邮。

2005年12月,研究者发现Google桌面以及IE浏览器的一个漏洞,令Google用户的个人数据很容易暴露给恶意网站。

2007年1月,安全专家发现在Google桌面存有一个安全漏洞,有恶意的人不仅可以远程持续地侵入Google桌面用户的敏感信息,甚至可以控制用户的整个电脑系统。

经常性错误

Google云计算产品出现意外确实不稀奇。一篇作者名为Tim Bass的博客描述了博主在2008年9月15日遇到的Google文档意外。

“我是Google的粉丝”,Tim Bass写道,“我很早就用上了Google文档,并享受由此带来的自由。比如,我记录商业花费时,用Google Spreadsheet,比起用微软的Excel方便许多。因为我可以在全球任何一个角落更新,而且直接与公司的财务人员共享。所以最近我一直用Google文档。”

“但是,今天,我发现了一个很大的安全漏洞。在我的账户里,我突然发现了许多不属于我的文件。”Tim Bass把几份不属于他的文件复制了出来,贴在博客里。

Tim Bass与其中一个文件的主人联系,结果对方是个泰国人。而那个泰国人也表示,在自己的账户里发现了不属于自己的文件。

几个小时后,一切回归了原状。

EPIC在申诉材料中说,尽管Google一再保证它的“计算机云”里的文件是安全的,但Google的云计算服务已经受到了数据泄露的侵害。

EPIC说,Google储存和传输文件都是普通的文本,而不是加密的文本。“而在其他的云计算服务提供商中,这些文本都是加密的”。

调查Google

云计算服务正在快速成为美国经济的重要部分。2009年3月的一项研究预计,到2012年,美国本土的公司耗费在云计算上的IT支出将会翻三倍,至420亿美元。

美国人已经越来越多地用到了云计算服务。2008年9月,69%的美国人使用电邮服务、在线信息储存或者使用在线的文字处理软件。

EPIC由此要求FTC发起对Google的调查,要求Google在确保安全措施到位前,不得提供云计算服务。

EPIC把Google告到FTC,结果会如何?

FTC有几次让IT企业加强了数据安全措施的先例。

比如,2005年,FTC裁定,Choicepoint不能为它的16.3万名用户的敏感信息提供有效的安全保护。2006年1月26日,FTC与Choicepoint达成和解,要求Choicepoint公司安装一个综合性的信息安全程序,并在未来20年,每年都由独立第三方进行安全审计。另外,Choicepoint支付1500万美元的民事赔偿以及500万美元的用户补救。

再比如,2009年2月5日,FTC与Compgeeks.com达成和解,要求Compgeeks.com安装综合的信息安全程序,确保用户信息安全,未来20年,每两年由独立第三方做一次安全审计。

而无论结果如何,我们在使用Google的云计算产品时有所保留,不把最隐私的内容放在上面,应是明智之举。

【编辑推荐】

  1. “云”安全性遭信任危机 Google Docs现安全漏洞
  2. 云计算时代杀毒软件的生存状态 
  3. 自己动手打造公司内网监管利器
  4. 利用HTTP-only Cookie缓解跨站点脚本攻击
  5. PWN2OWN黑客大赛2009到底有哪些猛料?
责任编辑:王文文 来源: 比IDC
相关推荐

2012-10-24 10:16:17

IT工程师云计算网络管理

2015-12-15 10:46:57

云计算风险行业安全

2017-11-02 16:03:12

2021-03-29 14:12:41

云计算区块链

2013-07-15 16:55:45

2016-02-19 16:35:07

云安全云计算私有云

2021-05-13 10:40:16

ThreadLocal代码Java

2023-11-29 08:03:05

2012-05-31 09:56:54

云安全

2015-07-31 10:35:18

实时计算

2020-10-21 10:53:33

Google垄断法浏览器

2015-05-25 10:24:19

2012-10-12 09:45:47

2009-04-10 23:28:00

2020-09-03 06:42:12

线程安全CPU

2015-07-10 09:31:43

2013-09-29 09:44:14

2017-02-14 15:18:44

GoogleAndroid

2019-08-05 15:05:35

2017-05-31 10:56:25

F5跨云之旅混合云
点赞
收藏

51CTO技术栈公众号