Uma falha bizarra no Google Apps fez o serviço disponibilizar indevidamente dados de registro de 282.867 domínios. O problema foi identificado em 19 de fevereiro e corrigido alguns dias depois, mas teve um longo tempo de “vida”: a vulnerabilidade existia desde 2013.
A falha foi identificada pela Cisco. Os especialistas da companhia estimam que o total informado corresponde a 94% dos domínios de clientes do Google Apps que foram registrados por intermédio da eNom. O problema não afetou endereços associados a outras companhias de registro.
Os dados vazados são aqueles que podem ser obtidos por ferramentas de WHOIS, como esta: nome do registrador, endereço físico, telefone, email, entre outras informações.
Se não todas, a maioria das empresas de registro oferece um serviço adicional que oculta os dados de registro dos usuários que querem mantê-los em sigilo, só os liberando sob ordem judicial. Na eNom, essa opção pode chegar a custar US$ 6 anuais por domínio. A ironia da história é que a contratação desse serviço não conseguiu proteger os dados dos clientes.
O estrago só não foi maior porque há usuários que optam por não ocultar as informações de registro – elas ficam disponíveis de uma forma ou de outra. Além disso, a exposição dos dados acontecia apenas algum tempo após a renovação do domínio, pelo o que foi observado. Muitos usuários registram endereços por dois ou mais anos e, assim, escaparam de renovar seu domínio durante o período em que a falha existiu.
Clientes afetados estão sendo avisados pelo Google via email. Mas não há o que ser feito, a não ser redobrar as atenções quanto ao uso indevido das informações – o problema foi solucionado, mas não é difícil encontrar ferramentas que mantém históricos de consultas de WHOIS.
Com informações: Ars Technica