Los empleados que dejen una empresa podrían explotar este punto débil
Google Workspace (anteriormente G Suite) tiene un punto débil que puede evitar el descubrimiento de la exfiltración de datos de Google Drive por parte de una persona malintencionada externa o interna, dicen los investigadores de Mitiga.
Un problema para los analistas forenses digitales y los que responden a incidentes
“Google Workspace proporciona visibilidad de los recursos de Google Drive de una empresa mediante el uso de ‘Eventos de registro de Drive’ para acciones como copiar, eliminar, descargar y ver archivos. Los eventos que involucran dominios externos también se registran, como compartir un objeto con un usuario externo", explicaron Ariel Szarf y Or Aspir de Mitiga.
De forma predeterminada, los usuarios de Google Drive comienzan con una licencia "Cloud Identity Free" y uno de los administradores de TI de su organización les asigna una de pago (por ejemplo, "Google Workspace Enterprise Plus").
Pero cuando no se asigna esta licencia de pago, no hay registros de acciones en el disco privado de los usuarios, descubrieron los investigadores, y eso podría dejar a las organizaciones en la oscuridad sobre las acciones de manipulación y exfiltración de datos que pueden realizar los usuarios o los atacantes externos.
Por ejemplo, si no se les asignó una licencia de pago o se eliminó su licencia antes de que se revoque su cuenta de Google, los empleados que dejen la empresa podrían explotar este punto débil para llevarse la propiedad intelectual de la empresa sin dejar ninguna evidencia forense de irregularidades.
Un usuario puede copiar previamente todos los archivos de la unidad compartida de la organización a su unidad privada y descargarlos: la descarga no se registrará en absoluto y la copia se registrará solo parcialmente (en el registro 'source_copy', pero no en el registro de 'copia').
Los atacantes externos podrían hacer lo mismo si han comprometido la cuenta de un usuario sin licencia de pago o la cuenta de un administrador de TI.
"Un actor de amenazas que obtiene acceso a un usuario administrador puede revocar la licencia del usuario, descargar todos sus archivos privados y reasignar la licencia. Los únicos logs de registro que se generan en este caso son de revocación y asignación de licencias (en 'Eventos de registro de administración')", explicaron los investigadores.
Detectar la exfiltración de datos a través de Google Drive
El consejo de los investigadores para las organizaciones es realizar regularmente una búsqueda de amenazas en Google Workspace y buscar eventos de revocación y asignación de licencias sospechosas y monitorear los registros 'source_copy' para detectar copias inusuales/sospechosas de archivos de la empresa.
Dicen que aunque han señalado esta deficiencia de seguridad forense al equipo de seguridad de Google, no esperan que la reconozcan como un problema de seguridad.
