Falha no Google Apps expõe dados privados de mais de 280 mil domínios

Uma falha bizarra no Google Apps fez o serviço disponibilizar indevidamente dados de registro de 282.867 domínios. O problema foi identificado em 19 de fevereiro e corrigido alguns dias depois, mas teve um longo tempo de "vida": a vulnerabilidade existia desde 2013.

IMAGEaHR0cDovL3d3dy5tYWNkb3MuY29tLmJyL3dwLWNvbnRlbnQvdXBsb2Fkcy8yMDE1LzAyL0dvb2dsZS1BcHBzLmpwZw==

A falha foi identificada pela Cisco. Os especialistas da companhia estimam que o total informado corresponde a 94% dos domínios de clientes do Google Apps que foram registrados por intermédio da eNom. O problema não afetou endereços associados a outras companhias de registro.

Os dados vazados são aqueles que podem ser obtidos por ferramentas de WHOIS, como esta: nome do registrador, endereço físico, telefone, email, entre outras informações.

IMAGEaHR0cHM6Ly90ZWNub2Jsb2cubmV0L3dwLWNvbnRlbnQvdXBsb2Fkcy8yMDE1LzAzL2RvbWluaW9fd2hvaXMtNzAweDM5NC5qcGc=

Se não todas, a maioria das empresas de registro oferece um serviço adicional que oculta os dados de registro dos usuários que querem mantê-los em sigilo, só os liberando sob ordem judicial. Na eNom, essa opção pode chegar a custar US$ 6 anuais por domínio. A ironia da história é que a contratação desse serviço não conseguiu proteger os dados dos clientes.

O estrago só não foi maior porque há usuários que optam por não ocultar as informações de registro - elas ficam disponíveis de uma forma ou de outra. Além disso, a exposição dos dados acontecia apenas algum tempo após a renovação do domínio, pelo o que foi observado. Muitos usuários registram endereços por dois ou mais anos e, assim, escaparam de renovar seu domínio durante o período em que a falha existiu.

Clientes afetados estão sendo avisados pelo Google via email. Mas não há o que ser feito, a não ser redobrar as atenções quanto ao uso indevido das informações - o problema foi solucionado, mas não é difícil encontrar ferramentas que mantém históricos de consultas de WHOIS.