Lumin PDF數據洩露可能會給Google雲端硬盤帳戶帶來風險

Lumin PDFLumin PDF Viewer是一種流行的工具,它允許直接通過選定的Web瀏覽器打開,編輯和共享PDF( 可移植文檔格式 )文件。它允許用戶突出顯示和加下劃線,擦除或添加文本,繪製線條和形狀,添加數字簽名以及創建註釋。它在Google雲端硬盤和Gmail用戶中很流行,一旦允許該文件連接到帳戶,他們可以選擇使用該工具打開和編輯任何PDF文件。該工具之所以受歡迎,是因為它可以處理PDF文檔而無需先下載它們。不幸的是,並非所有使生活更加便利的事物對我們也有好處。儘管使用該應用程序的用戶很可能是安全的,但其帳戶也可能變得容易受到攻擊。如果您想了解更多有關所謂的Google雲端硬盤數據洩露的信息,請繼續閱讀。

魯敏沒有報告事件

根據ZDNet的報告 ,內部人士警告他們的研究人員,當2430萬Lumin用戶數據通過地下黑客論壇以CSV文件形式共享時,該數據已在線洩漏。內部人士(似乎也是黑客,利用MongoDB數據庫漏洞竊取數據)聲稱在五個月內多次與Lumin接觸,以警告公司有關安全漏洞,但沒有收到答复。 ZDNet爆料了消息,並與Lumin和Google進行了接觸,顯然他們當時已對事件進行了調查。那麼,Lumin是否隱藏了數據洩露?實際上,是否存在數據洩露?據Cimpanu Catalin接觸的Lumin首席執行官馬克斯·弗格森(Max Ferguson)稱,攻擊背後的黑客無法利用Google訪問令牌,這些令牌已包含在洩漏的文檔中,因為它們在漏洞發生時已經過期。因此,根據Lumin的說法,Google雲端硬盤數據洩露不可能發生。我們可以相信這些主張嗎?只有時間證明一切。

什麼是Google訪問令牌以及如何利用它們

當您第一次選擇使用Lumin PDF查看存儲在Google雲端硬盤中的PDF文件時,系統會通知您“ Lumin需要訪問Google雲端硬盤才能打開文件 ”,並向您介紹“ 連接到Google雲端硬盤”按鈕。單擊它時,您必須選擇正確的Google帳戶,然後要求您啟用某些權限。首先,要求您允許該工具查看文件,下載文件以及查看有權訪問這些文件的人員的姓名和電子郵件地址。該工具還需要獲得查看,創建,編輯和刪除Google雲端硬盤上的配置數據的權限。最後,Lumin PDF需要保存文件,創建新文件,查看文件夾及其內容,並在文件夾內進行更改,包括刪除內容. 如果您允許執行這些操作,則會要求您再次確認您的決定,並且會通知Lumin PDF可以將您與您在Google上的個人信息相關聯,查看個人信息並查看您的電子郵件地址。

授予所有權限後,無論您嘗試從OneDrive,Dropbox,Gmail還是Google Drive打開文件,都將重定向到luminpdf.com 。這意味著Lumin PDF是從其自己的網站而不是最初存儲文件的平台運行的。當包含帶有Lumin PDF用戶信息的CVS文件的2.25 BG ZIP文件洩漏時,任何人都可以訪問其名稱,電子郵件地址,地理位置以及Google訪問令牌 。根據Auth0 ,訪問令牌是允許應用程序授權訪問API( 應用程序編程接口 )的組件。基本上,訪問令牌在登錄會話期間標識用戶。從理論上講,網絡攻擊者可以利用訪問令牌來劫持帳戶,這就是為什麼當發現洩漏的CSV文件中發現Google訪問令牌時,每個人都開始談論Google Drive數據洩露的原因。如果我們相信Max Ferguson,則這些令牌在洩漏時已過期,因此您可以選擇信任Lumin。或者,您可以刪除應用程序的權限。

如何在Google雲端硬盤上刪除應用權限

  1. 轉到Google雲端硬盤登錄。
  2. 單擊右上角的“設置”圖標(齒輪)。
  3. 單擊設置。
  4. 在左側菜單中,單擊管理應用。
  5. 查找您要刪除其權限的應用
  6. 單擊選項下拉菜單。
  7. 單擊從驅動器斷開連接。

注意:如果您認為Lumin PDF是可以信任的,則可以在完成這些步驟後重新連接到該應用程序。

Google雲端硬盤數據洩露後如何保護帳戶

關於Lumin PDF數據洩露是否已導致Google Drive數據洩露,尚無定論,但是,當然,您要主動。首先,我們建議您撤消該應用程序的權限,直到您100%確定該應用程序是可信任的為止。不幸的是,還存在其他PDF查看器,並且可能變得脆弱。此外,如果在Google的末端發現安全漏洞,則Google雲端硬盤可能會遇到數據洩露的情況。儘管您很有可能不會再遇到與Lumin或Google Drive相關的數據洩露,但沒有人能預測下一次網絡罪犯何時以及如何攻擊。因此,您需要採取適當的安全措施,並且要開始使用Google帳戶。

您確定您的Google帳戶安全嗎?如果您不確定100%,建議您繼續閱讀此處. Google的安全中心還提供有關您帳戶的重要信息,您可以在此設置兩因素身份驗證,管理第三方訪問和連接的設備以及執行其他操作來保護帳戶安全。請注意,設置兩因素身份驗證尤為重要,因為您希望擁有一個額外的訪問令牌,這將使網絡犯罪分子更難(在許多情況下,是不可能的)劫持您的Google帳戶,即使他們擁有一個訪問令牌也是如此。這還不是全部。如果您確實希望保護自己的Google帳戶,則需要一個安全且獨特的密碼。儘管就Lumin PDF事件而言,密碼的強度並不重要,但大多數數據洩露都是由於密碼不足而發生的。如果您不確定自己的Google密碼是否很弱,請繼續閱讀此處

November 19, 2019

發表評論

重要!若要繼續到下一步,請完成以下簡單的數學問題。
Please leave these two fields as is:
9 + 10是什麼?