安全专家SADA声称在GoogleCloudPlatform中发现了一个严重漏洞,该漏洞已被这家科技巨头修复。
该漏洞被称为资产密钥盗窃,可能允许威胁行为者窃取谷歌云服务帐户的私钥。在一份声明中(在新标签页中打开),SADA表示,它相信该漏洞“会给攻击者提供一种持久可靠的方法来滥用谷歌云环境。”
SADA通过其BugHunters将其云托管业务中的问题通知了谷歌(在新标签页中打开)赏金计划,研究人员可以在其中以安全可靠的方式提醒科技巨头他们在其产品中发现的缺陷。
SADA认为这个问题很严重,“因为许可与第三方云安全工具(例如云安全状态管理(CSPM)工具)的通用性,可以从API收集云库存数据。”
该缺陷是在称为CloudAssetInventoryAPI的GoogleCloudPlatformAPI中发现的。它影响了所有已启用此API且对适用的GoogleCloud环境具有cloudasset.assets.searchAllResources权限的GoogleCloud用户均暴露于此漏洞。
一旦SADA将此报告给谷歌,它就会在修补漏洞之前自行重现错误以确认其存在。然而,SADA警告说,客户可能仍会受到它的影响,并且威胁可能在补丁发布后仍然存在。
SADA首席技术官MilesWard表示:“支持我们的客户在云中转变其组织意味着在安全方面始终保持警惕。”“没有任何公共云可以免受漏洞的影响,我们都必须在发现漏洞时迅速采取行动、公开协作并透明地沟通。”
“我们赞扬谷歌云在我们提请他们注意此错误时的快速和彻底响应。我们为SADA的工程师为确保我们客户的数据保持安全所做的工作感到自豪。”