Güvenlik uzmanları SADA, o zamandan beri teknoloji devi tarafından yama uygulanan Google Cloud Platform’da ciddi bir güvenlik açığı bulduğunu iddia etti.
Varlık Anahtarı Hırsızlığı olarak bilinen güvenlik açığı, potansiyel olarak tehdit aktörlerinin Google Bulut Hizmeti Hesaplarının özel anahtarlarını çalmasına izin verebilirdi. İçinde ifade (yeni sekmede açılır)SADA, kusurun “saldırganlara bir Google Cloud ortamını kötüye kullanmak için kalıcı ve güvenilir bir yöntem sağlayacağına” inandığını söyledi.
SADA, bulut barındırma işindeki sorunu Google’a kendi aracılığıyla bildirdi. Böcek Avcıları (yeni sekmede açılır) araştırmacıların teknoloji devini ürünlerinde buldukları kusurlara karşı güvenli bir şekilde uyarabilecekleri ödül programı.
API kusuru
SADA, “iznin API’den bulut envanteri verilerini toplamak için Bulut Güvenliği Duruş Yönetimi (CSPM) araçları gibi üçüncü taraf bulut güvenlik araçlarıyla ortak olması nedeniyle” sorunun kritik olduğuna inanıyordu.
Kusur, Cloud Asset Inventory API olarak bilinen Google Cloud Platform API’sinde bulundu. Bu API’yi etkinleştirmiş olan ve ilgili Google Cloud ortamında cloudasset.assets.searchAllResources izinlerine sahip olan tüm Google Cloud kullanıcılarının bu güvenlik açığına maruz kalmasından etkilendi.
SADA bunu Google’a bildirdikten sonra, güvenlik açığını düzeltmeden önce varlığını doğrulamak için hatayı yeniden oluşturdu. Ancak SADA, müşterilerin hala bundan etkilenmiş olabileceği ve yamadan sonra tehdidin devam etmiş olabileceği konusunda uyarıyor.
SADA CTO’su Miles Ward, “Müşterilerimizi bulutta kuruluşlarını dönüştürürken desteklemek, güvenlik söz konusu olduğunda sürekli tetikte olmak anlamına gelir” diyor. “Hiçbir genel bulut, güvenlik açıklarından muaf değildir ve bir güvenlik açığı tespit ettiğimizde hepimiz hızlı hareket etmeli, açık bir şekilde işbirliği yapmalı ve şeffaf bir şekilde iletişim kurmalıyız.”
“Bu hatayı dikkatlerine sunduğumuzda ne kadar hızlı ve eksiksiz yanıt verdikleri için Google Cloud’u takdir ediyoruz. SADA mühendislerinin müşterilerimizin verilerinin güvende kalmasını sağlamak için yaptıkları çalışmalardan gurur duyuyoruz.”