O Google confirmou que finalmente corrigiu uma falha no Google Docs que permitia que hackers lessem seus documentos. A falha foi descoberta em 9 de julho de 2020 por um pesquisador de segurança, conhecido apenas como Sreeram KL, que recebeu $ 3.133,70 como parte do programa de recompensa de bugs do Google. Ofertas do Google entre $ 500 e $ 31.337 para os ataques mais graves identificados pelos pesquisadores, portanto, com base no valor monetário atribuído pela equipe do Google, claramente não era o a maioria sobre a falha – ainda pode ser bastante problemático.
O bug foi descoberto no Enviar comentários e os recursos do Help Docs Enhanced, que permitem aos usuários enviar capturas de tela e notas sobre o aplicativo online para ajudar os engenheiros do Google a corrigir quaisquer problemas ou implementar novas funcionalidades sugeridas pelos usuários. Quando os usuários concordam em enviar uma captura de tela com sua reclamação, a imagem não é obtida pelo Google Docs, mas sim pelo Google.com.
Isso evita que o Google tenha o trabalho de duplicar sua função de captura de tela em um número estonteante de seus aplicativos online, incluindo Documentos, Apresentações, YouTube, Mapas e muito mais.
Em vez disso, o recurso de captura de tela foi criado para lidar com solicitações de todos esses vários aplicativos do Google. No entanto, uma falha no sistema significava que os hackers podiam capturar imagens do Google Docs enviadas por usuários sem seu conhecimento. Isso foi possível devido a uma fraqueza na estrutura de URL empregada pelo Google, que possibilitou antecipar as capturas de tela recebidas.
Assim, os hackers podem desviar capturas de tela de problemas nesses documentos. Dado que milhões de pessoas dependem do Google Docs para educação, trabalho e anotações pessoais, esse era um problema sério.
Felizmente, uma vez que o hack exigia que os usuários acessassem o Enviar comentários botão em seu documento, não havia nenhuma maneira de direcionar usuários individuais. Em vez disso, os hackers precisariam capturar tudo que vem através do sistema ou enganar usuários específicos para clicar em uma configuração de site desonesto para induzi-los a acessar o Enviar comentários botão. Embora isso fosse possível, afirma o pesquisador, parece improvável que tenha acontecido na natureza.
No entanto, é um lembrete oportuno sobre a importância de manter informações confidenciais – como números de passaporte, senhas para logins online, dados bancários, respostas a perguntas de segurança para restaurar contas – trancadas. Isso geralmente significa uma cópia impressa em uma gaveta da mesa em casa (às vezes os métodos antigos ainda são os melhores) ou o uso de um gerenciador de senhas com criptografia difícil.
Aplicativos extremamente populares como 1Password e LastPass oferecem aos usuários a capacidade de gerar e armazenar senhas exclusivas para cada conta online, bem como bloquear documentos em seu cofre online. Com alguma sorte, pesquisadores de segurança, como Sreeram KL, que descobriu o Enviar comentários falha, e as equipes do Google e de outros gigantes da tecnologia manterão tudo seguro, mas é sempre mais seguro seguir as práticas recomendadas individualmente também.