Document AI, служба обработки файлов Google Cloud, имела тревожный недостаток безопасности, который позволял злоумышленникам красть конфиденциальные данные из учетных записей облачного хранилища пользователей и, возможно, даже переправлять вредоносное ПО.
Это после одного новый отчет исследователями кибербезопасности Vectra AI, которые обнаружили уязвимость в начале апреля и сообщили о ней в Google. Это было исправлено в начале сентября этого года.
Google Cloud Document AI — это набор инструментов машинного обучения, который автоматизирует извлечение, анализ и понимание документов. Он обрабатывает неструктурированные данные, такие как счета-фактуры, формы или контракты, преобразуя их в структурированную, полезную информацию. Сервис предназначен для улучшения документооборота и повышения скорости и точности извлечения данных.
Проблемы с пакетной обработкой
Пользователи могут обрабатывать документы, хранящиеся в Google Cloud, с помощью так называемой пакетной обработки — автоматизации анализа большого количества документов одновременно. Во время этого процесса служба использует Service Agent, службу, управляемую Google, которая выступает в качестве удостоверения в этом процессе. Однако вместо использования набора разрешений вызывающего объекта для задания пакетная обработка использует слишком широкие разрешения агента службы.
В результате вызывающий абонент (который может быть злоумышленником) может получить доступ ко всем сегментам Google Cloud Storage в рамках одного проекта и, следовательно, ко всем присутствующим там данным. Исследователи продемонстрировали Google доказательство концепции, которая показала, как можно использовать уязвимость для извлечения PDF-файла, его изменения и последующего возврата в то же место.
Вскоре после того, как стало известно о проблеме, Google, по-видимому, выпустил патч и изменил статус проблемы на «решенная». Однако исследователи заявили, что исправления недостаточно, и оказали дополнительное давление на компанию. Наконец, в начале сентября Google подтвердил, что осуществил переход на более раннюю версию, который устранил проблему, «поскольку злоумышленник должен иметь доступ к проекту затронутой жертвы».
Над Регистр
Больше от TechRadar Pro
