Imagina confiar sua vida digital a um serviço como o Google Drive. Fotos da família, contratos da empresa, aquele projeto secreto que só você deveria ver. Agora imagina descobrir que, por causa de um descuido bizarro no app de desktop para Windows, qualquer outro usuário da mesma máquina pode acessar tudo isso sem sequer precisar fazer login.
Pois é, o Google Drive Desktop para Windows escorregou feio. E a queda foi direto na segurança de milhões de usuários.
O bug que transforma o cache em porta de entrada
Vamos direto ao ponto: o aplicativo do Google Drive para Windows guarda uma cópia dos arquivos sincronizados em uma pasta local chamada DriveFS. Ela fica escondida lá dentro do seu perfil de usuário no Windows. A ideia é que só você tenha acesso a essa pasta. Mas… e se te dissesse que isso não está acontecendo?
A falha, revelada por um pesquisador de segurança, mostra que o app não exige novo login e nem isola corretamente os dados de um usuário. Ou seja, se alguém conseguir acessar o seu perfil no Windows (mesmo que brevemente), pode copiar a pasta DriveFS e colá-la em seu próprio perfil. Pronto: ao abrir o Google Drive Desktop de novo, ele carrega os seus arquivos como se fossem dele. Sem pedir senha, sem aviso, sem cerimônia.
Prova de conceito (spoiler: é fácil demais)
Essa não é uma daquelas vulnerabilidades super técnicas que exigem habilidades de hacker nível Hollywood. O passo a passo dessa prova de conceito é tão simples quanto assustador:
- O atacante entra com sua conta no Google Drive Desktop.
- Fecha o app.
- Copia a pasta DriveFS de outro usuário da máquina.
- Cola essa pasta no próprio diretório.
- Abre o Google Drive de novo… e voilà: acesso completo aos arquivos da vítima.
Releia esse trecho. Sem autenticação, alerta, sem barreira. E o pior: com todos os arquivos visíveis, inclusive os compartilhados em equipe, códigos-fonte, documentos financeiros e imagens pessoais.
Zero Trust? Só se for zero mesmo
Esse bug quebra um dos pilares mais fundamentais da segurança moderna: o tal do Zero Trust, que basicamente diz que ninguém deve ter acesso automático a nada, sem verificação. Mas o Google Drive Desktop parece ter interpretado isso como “confia em tudo e todo mundo”.
O armazenamento em cache também é um tiro no pé aqui. A tal pasta DriveFS guarda os arquivos em formato legível. Nenhuma criptografia local para proteger os dados. Se você tiver acesso físico ao computador, o Google basicamente te entrega os arquivos numa bandeja.
E isso, claro, ignora completamente padrões de segurança como NIST, ISO 27001, GDPR e HIPAA, que exigem autenticação e isolamento entre usuários.
Enquanto o Google não se mexe…
O Google ainda não lançou um patch para resolver esse problema. Enquanto isso, se a sua empresa ou você mesmo usa o Google Drive Desktop em máquinas compartilhadas, talvez seja hora de repensar essa prática.
Algumas medidas emergenciais incluem:
- Evitar o uso do app em computadores multiusuários
- Limpar o cache do DriveFS entre sessões de usuário
- Configurar permissões rígidas entre perfis do Windows
- Usar o Drive Desktop apenas em endpoints confiáveis
Mas sejamos honestos: isso é tampar o sol com a peneira. A correção real precisa vir do Google, com criptografia individual para o cache, exigência de login ao carregar dados locais, e permissões de sistema mais rígidas para evitar que um usuário bisbilhote os arquivos de outro.
Segurança real exige mais do que confiança
Falhas como essa não são só falhas técnicas. Elas são convites abertos para abusos, violações de privacidade e prejuízos empresariais sérios. Em tempos de vazamentos massivos e compliance rigoroso, confiar cegamente em soluções “oficiais” sem verificar como elas funcionam por trás é um pouco complicado.
E aí, você já parou pra pensar em quem pode estar vendo seus arquivos agora, sem você nem saber?
