O analista de segurança
Ade Barkah, da consultoria canadense
BlueWax, afirmou ter descoberto três falhas no
Google Docs que podem expor dados privados. O Google, por sua vez, afirma que as questões não envolvem riscos de segurança.
Uma das falhas permite que imagens sejam acessíveis mesmo se um documento tenha sido apagado ou os direitos de compartilhamento tenham sido revogados, escreveu Barkah.
Um usuário precisaria da
URL correta da imagem para ter acesso. A falha mostra que o Google Docs não protege imagens com seus controles de compartilhamento, acusa ele.
"Se você compartilhou um documento contendo imagens integradas com alguém, essa pessoa sempre conseguirá vê-las", mesmo que tais direitos sejam cancelados.
"Se você integra a imagem em um documento protegido, é de se esperar que a imagem também esteja protegida. O resultado final é um potencial risco de privacidade", escreveu ele.
O segundo problema permite que usuários vejam todas as versões de uma imagem que foi modificada. Por exemplo, caso um usuário queira editar uma imagem e compartilhá-la, quem já teve acesso ao documento pode modificar a URL para ver as versões anteriores.
O pesquisador também descobriu um terceiro problemas, mas não divulgará os detalhes ainda, adiantando apenas que ele permite que usuários que já tiveram acesso a documentos no Google Docs continuem com os direitos mesmo que o administrador os tenha alterado.
O Google foi notificado das questões em 18 de março, e Barkah afirmou que estabeleceu um contato com o time de segurança do Google na semana passada.
Em anúncio, o Google afirmou que está investigando as questões mas que não acredita que existem problemas significativos de segurança no Google Docs.
No começo do mês, o buscador admitiu que uma falha no Docs fez com que alguns documentos fossem expostos a usuários sem permissões específicas. O problema ocorreu entre usuários que já haviam tido acesso aos arquivos.
Ainda em março, o Electronic Privacy Information Center pediu que a Federal Trade Commission exigisse que o Google parasse de oferecer serviços que coletam dados até que controles de privacidade pudessem ser verificados.
Créditos
www.idgnow.com.br