如今，研究人员每天都要面对大量的漏洞和高级攻击，似乎所有的攻击都是来自于外部。不过，我们忽略一个日益严重的问题，就是由于自身的网络的配置问题，才给了黑客攻击的机会。

最近，Kenna的安全研究人员发现，大约有3000个机构因Google网上论坛和G Suite配置不当，从而泄露了大量的敏感数据。受影响的机构包括许多财富500强公司、医院、大学、新闻机构和电视台，甚至还有一些美国政府机构。

Kenna是何方神圣？

Kenna是一家提供风险智能与漏洞管理的网络安全初创企业，成立于2011年，原名叫Risk IO（2015年更名），总部位于芝加哥。Kenna的技术将外部互联网的泄露数据、0 day威胁智能与内部漏洞扫描数据进行结合，可以实时监控组织内部的网络安全威胁程度，并在威胁程度超过预设的阈值之后通过告警系统通知组织相关人员采取相应行动。具体而言，Kenna的功能包括Kenna Reports——提供组织存在安全风险的实时报告以及与过去风险程度的对比；The Risk Meter——以量表形式体现的安全风险指数；以及Kenna Dashboard——告诉安全管理员什么地方需要进行什么样的修补以及Asset Grouping & Tagging——对安全资产进行分组和打标签等。

事件分析

Kenna在9600个组织 (其中有250万个审计域) 的调查中，发现其中31％（大约3000）正在因为配置不当，泄露大量敏感数据。而这，仅仅是其中的一个样本，这意味着全球范围内，受此影响的组织可能达到数万个组织。

Google Groups是一个网络论坛，它是Google的G Suite工作工具的一部分。在这里要说一句，其实谷歌论坛就是加强版的邮件列表，具有很多比较实用的功能，例如可以进行小组讨论、可以发送邮件杂志、可以根据需要组建私密的小圈子等，成员可以开始新的讨论或对已有的主题进行回复。每个论坛都有自己的电子邮件地址来帮助其成员之间保持联系。Google Groups允许管理员创建邮件列表，通过电子邮件将特定内容发送给特定收件人，同时，这些内容（包括电子邮件附件）将发布在可供用户在线使用的网络界面上。隐私设置可以在域和每个组的基础上进行调整。在受影响的组织中，组的可见性设置被配置为“在互联网上公开”，并且在组织外共享信息的选项可能在不知不觉中被配置为开放。

Kenna的研究人员在上周五发表的一篇文章中称：

由于术语和组织范围内的复杂性以及组特定的权限，列表管理员可能无意中暴露电子邮件列表内容。

谷歌表示，因为这个泄露是一个配置不当的问题，并不是某种漏洞，因此不会修复。不过，谷歌上周五发布了自己的帖子，详细解释了如何将Google网上论坛进行加密设置，并重申了在云安全共享环境中的义务和责任：

如果你允许你的域中的用户创建公共的Google网上论坛，并为你的域中的任何人提供创建组的能力，那么就代表你的组织相信他们可以管理他们的设置并适当地使用这些工作组。

都有哪些信息被泄露了？ 

目前泄露的信息种类各不相同，有应付账款、发票数据、客户工作交流时的电子邮件以及密码恢复邮件等所有信息。

除了个人的财务等信息会被泄露外，发生错误配置的Google网上论坛帐户有时会公开索引关于组织本身的大量信息，包括员工手册链接、人员配置时间表、停机和应用程序错误的报告以及其他内部资源。在大多数情况下，为了找到敏感信息，进入某个公司的Google网上论坛页面，就可以找到他们的登录帐户密码，人力资源情况，会计信息，登录的用户名和域名。

Google Groups发生数据泄露的历史

在4月份发生的波士顿学院事件中，一份包含数百份大学通信和相关文档以及受限，保密或其他的敏感信息，被公开在Google Groups页面，任何G Suite的用户都可以访问这些数据，G Suite的用户包括所有教职员工和工作人员，以及一些学生。

Kenna的研究人员说：

考虑到这些信息的敏感性，可能的后期攻击影响包括网络钓鱼攻击，账户盗窃和各种各样针对具体用户的欺诈。

但好消息是，目前仍未发现任何利用Google Groups发生数据的攻击事件。G Suite管理员可以通过立即检查其设置来保护自己和他们的公司，具体方法请点此，简而言之，就是将域之外的“访问权限 – 共享组”设置为“隐私保护”。