我們家算是很早一批投入 Google Apps(現在更名 G Suite[1])用戶,對於後台操作也算熟悉,不過因為內部使用人員不多,反而忽略一件小事情,實際上 Google Mail、Drive 這些服務一直存在很大一個漏洞:「管理者」!
剛好最近發生一起國立大學網路管理員監守自盜,學生和老師們的機密資料紛紛透過 Google G Suite 教育版的漏洞外洩,這才讓大家意識到,雖然是 Google,卻是有漏洞的 Google。
由於 Google 取消 G Suite 的免費版本,僅剩學校單位還能申請的教育版維持免費,加上近年雲端系統興起,下至幼稚園上至大學研究所,許多單位紛紛改用 Google G Suite 教育版,替學校省下大筆的網路建設費用,甚至還大放福利讓畢業校友也能回鍋申請無期限、無限制容量的信箱與網路硬碟(Drive)服務。
然而很多人都忘記一件事,雖然是 Google 服務,實際上這個網路環境一點都不安全。就像這次國立大學的管理人員因為起了私慾,導致大量用戶隱私資料外洩一樣,只要有人的地方,就有漏洞。
對於已經習慣使用學校提供免費教育版服務的人來說,下一步就是將許多機密資料通通放在雲端,例如身分證影本、護照影本、帳號密碼紀錄、情書甚至是私密自拍影片等等,方便自己可以隨時隨地取用,就算出國旅行也不怕。
然而,實際上網路管理員只需要 5 秒,就能把全部資料「偷走」。
請見下圖,管理者只需要按一個鈕,就能輕鬆更改任何帳戶密碼,奪取用戶權限而替之。
這個機制原本立意良善,把用戶管理的權限下放給網站管理者,然而在實際應用上可能比許多內容管理系統(CMS)還糟糕。起碼那些系統更改密碼後,只會將新密碼寄到用戶信箱,但是 Google 卻允許管理者隨意重設密碼,雖然很方便,卻也明顯是一個大漏洞,畢竟我們根本不知道網路管理者到底是什麼人?
如果哪一天突然無法登入學校信箱和網路硬碟,手動重新設定密碼後又可以正常使用,這時候你就該擔心除了駭客入侵外,是不是有可能被管理者盜用(正妹尤其要注意)。
一般來說有兩種人擁有權限專門管理校園網路,一種是資訊科系老師兼任行政職,另一種是就是學生,有些是從資訊社團直接擔任,有些則是自行主動應徵。
老師對於工作職掌的業務有較高的法律常識,加上工作穩定,相對來說比較不會輕易做出違法情事(怪老師例外)。
但是年輕學生對於法律責任意識相對較弱,加上充滿好奇心與性衝動,很有可能就出問題了。舉例來說,你想不想知道自己暗戀女孩子的個人資料?
雖然 Google G Suite 存在這個陷阱漏洞,但是免費的教育版也不是不能用,畢竟這套系統是市面上少數有著無限容量和強大管理功能等優點。
但是請大家千萬注意,千萬不要將重要資料存放在教育版本的信箱和網路硬碟裡頭,例如身分證影本、護照影本、帳號密碼紀錄、商業文件等等,請將這些重要資料另外存放在獨立信箱或是根本放在電腦內不要上傳網路。
你可以把免費教育版服務拿來存放一些不重要,卻又很佔空間的資料(不過說實話,用得這樣麻煩,我還寧可不用)。
參考文獻/備註
- G Suite(Google G Suite 官網)是 Google 在訂閱基礎上提供的一套雲端運算生產力和協作軟體工具和軟體。 它包含 Google 廣受歡迎的網路應用程式,包括 Gmail、Google 雲端硬碟、Google 環聊、Google 日曆和 Google 文件。
發佈留言