No seguimento de casos anteriores com a Microsoft e com a Apple, temos um investigador de segurança a acusa a Google de ignorar uma vulnerabilidade grave no Config Connector, uma ferramenta utilizada para gerir recursos do Google Cloud através do Kubernetes. Segundo Justin O'Leary, a falha permitiria a utilizadores com acesso a determinados espaços de nomes do Kubernetes contornar os controlos de permissões do Google Cloud e obter acesso total a recursos de uma organização.
De acordo com o investigador, a vulnerabilidade resulta da ausência de uma verificação de autorização adequada no Config Connector. Um atacante poderia explorar a falha para elevar privilégios e obter permissões de administrador ao mais alto nível dentro de uma infraestrutura Google Cloud. Após receber o relatório em Março, a equipa de segurança da Google classificou inicialmente o problema como P1 (prioridade máxima) e S1 (gravidade máxima), descrevendo-o como um caso importante.
O caso está a gerar novas críticas na comunidade de segurança, sobretudo porque esta não é a primeira vez que investigadores lidam com grandes empresas que classificam inicialmente um problema como vulnerabilidade, para depois recusarem recompensas ou não comunicarem publicamente as correcções. Embora seja natural que por vezes as falhas reportadas não sejam verdadeiramente falhas, ou que possam já ter sido reportadas por outros investigadores, a frequência crescente destes relatos faz com que seja necessário reavaliar estes programas, para que haja maior transparência e não se corra o risco de hostilizar as relações entre empresas e investigadores. É que, se assim for, passa-se de um cenário "win-win" em que todos têm a ganhar, para um cenário "lose-lose" em que todos ficam a perder.
Sem comentários:
Enviar um comentário (problemas a comentar?)