G Suite - это набор облачных приложений для организации совместной работы, прежде называвшийся Google Apps for Work и Google Apps for your Domain. В набор входят все популярные приложения Google, адаптированые для корпоративных сред, - Gmail, Hangouts, Calendar и Google+; Docs, Sheets, Slides, Forms, Sites и Jamboard; Google Drive для хранения данных, и, в зависимости от тарифного плана - администраторская панель и решение Vault для управления пользовательскими аккаунтами и службами.
Ещё в 2017 г. Kenna Security опубликовали бюллетень, в котором указывалось, что из G Suite возможны утечки, но на него тогда не обратили достаточного внимания.
Проблема, по данным экспертов Kenna Security, заключается в том, что в настройках Google Groups используется «слишком сложная терминология» и не везде понятно, какие настройки в каких случаях требуются. В результате доступ к содержимому почтовых рассылок могут получать посторонние лица.
«Google Groups позволяют администратору G Suite создавать почтовые рассылки, в рамках которых только определённые пользователи будут получать почту, но одновременно для рассылки создаётся веб-интерфейс, доступный по ссылке groups.google.com.
Индивидуальные настройки приватности Google Group могут выставляться на уровнях отдельного домена и отдельной группы. В организациях, где были отмечены проблемы, значение настроек доступности групп извне домена (пункт Group Visibility в консоли admin.google.com) выставлена в значение Public on the Internet», - говорится в публикации Kenna Security.
Скриншот настроек Google Groups