Предложение Microsoft переместить Office и систему обмена сообщениями в "облако" на прошлой неделе натолкнулось на серьёзное препятствие. Компании пришлось объявить, что она случайно предоставила часть личных данных пользователей Business Productivity Online Suite (BPOS) в общий доступ.
BPOS – это программное обеспечение для обмена сообщениями, преимущественно используемое корпоративными клиентами. Клинт Паттерсон, руководитель подразделения BPOS Communications признался в интервью голландскому изданию Webwereld, что некоторые пользователи обнаружили трюк, позволяющий получить доступ к чужим контакт-листам.
«Нам недавно стало известно, что из-за проблемы настройки, информация из оффлайновой адресной книги для Business Productivity Online Suite могла быть случайно скачана другими клиентами службы. При очень специфических обстоятельствах».
Уязвимость была глобальной – в BPOS Северной Америки, Европы и Азии. В Microsoft быстро обратили внимание на подозрительную активность и исправили проблему в течение двух часов. Однако, «очень небольшое количество» пользователей успели неправомерно скачать данные других людей. Microsoft уже обратилась к тем людям, кто получил доступ к чужим сведениям с просьбой удалить полученные файлы.
Единственное утешение для пользователей службы и для самой компании состоит в том, что утекшие сведения были не очень ценными – это был «всего лишь» список деловых контактов, не содержащий персональных данных.
Однако, инцидент поставил под вопрос усилия Microsoft по продвижению офисного пакета в "облако". Собственно, затронуты были интересы и других проектов, в частности Google Chrome OS, которую совсем недавно критиковал Ричард Столлман, основатель движения GNU.
Потеря данных Microsoft перекликается с недавней утечкой 100 миллионов пользовательский профилей социальной сети Facebook и 114 тысяч e-mail-адресов и идентификаторов устройств iPad.
Основной проблемой во всех этих случаях была некорректная обработка прав доступа в облачной схеме хранения данных. Утекшая информация может показаться не особенно ценной, но для определённых лиц она окажется источником огромных доходов. Нельзя исключать возможность, что вскоре подобным утечкам подвергнутся и другие сетевые службы.
Но всё же не следует бросаться в крайности и отрицать факт существования и пользу облачных вычислений из-за их небезопасности. Хотя технически подкованные пользователи сети и могут стащить чужие данные, облачные вычисления по своей сути защищены не меньше (и не больше) традиционных вычислений.
Несмотря на то, что облако даёт хакерам простой путь кражи больших объёмов инфрмации с предприятий, работающих по всему миру, важно помнить о том, что немногие способны найти дыры и реализовать атаку. В прошлом те же люди вполне могли провести атаки методом социального инжиниринга для кражи тех же сведений, расположенных в другом месте. В любом случае не следует забывать, что ни одна система в действительности не может считаться абсолютно защищённой – некоторые данные рано или поздно найдут своего нового хозяина. Вопрос лишь в целесообразности.