در وبلاگ من در مورد یک اشکال اخیراً کشف شده که منجر به ذخیره رمز عبور برخی از کاربران G Suite بدون رمزگذاری در فایلهای متنی ساده شده است. این باگ از سال 2005 وجود داشته است. با این حال، گوگل ادعا می کند که نمی تواند هیچ مدرکی مبنی بر افتادن هر یک از این رمزهای عبور به دست مهاجمان یا سوء استفاده پیدا کند. با این حال، این شرکت گذرواژههایی را که ممکن است تحت تأثیر قرار گیرد بازنشانی میکند و سرپرستان G Suite را از مشکل مطلع میکند.
G Suite نسخه سازمانی Gmail و سایر برنامههای Google است و ظاهراً این باگ به دلیل ویژگی طراحی شده مخصوص مشاغل در این محصول رخ داده است. در ابتدای این سرویس، یک مدیر شرکت میتواند از برنامههای G Suite برای تنظیم گذرواژههای کاربر به صورت دستی استفاده کند: مثلاً، قبل از اینکه کارمند جدیدی به سیستم بپیوندد. اگر او از این گزینه استفاده می کرد، کنسول ادمین این گذرواژه ها را به جای هش کردن، به صورت متن ساده ذخیره می کرد. گوگل بعداً این توانایی را از مدیران سلب کرد، اما رمزهای عبور در فایل های متنی باقی ماندند.
گوگل در پست خود تلاش می کند تا توضیح دهد که هش رمزنگاری چگونه کار می کند تا تفاوت های ظریف مرتبط با خطا واضح باشد. اگرچه گذرواژهها در متن واضح ذخیره میشدند، اما در سرورهای Google بودند، بنابراین اشخاص ثالث تنها با هک کردن سرورها میتوانستند به آنها دسترسی پیدا کنند (مگر اینکه کارمندان Google باشند).
گوگل نگفت که چه تعداد از کاربران به طور بالقوه تحت تأثیر قرار گرفته اند، به جز اینکه گفته است «زیر مجموعه ای از مشتریان سازمانی G Suite» است - احتمالاً هر کسی که در سال 2005 از G Suite استفاده کرده است. اگرچه گوگل هیچ مدرکی مبنی بر استفاده مخرب از این دسترسی پیدا نکرد، اما کاملاً مشخص نیست که چه کسی ممکن است به این فایلهای متنی دسترسی داشته باشد.
در هر صورت، این مشکل اکنون برطرف شده است و گوگل در پست خود درباره این مشکل ابراز تاسف کرد: «ما امنیت مشتریان سازمانی خود را بسیار جدی میگیریم و مفتخریم که شیوههای امنیتی حسابهای پیشرو در صنعت را ترویج میکنیم. در این مورد، ما استانداردهای خود و مشتریان خود را رعایت نکردیم. ما از کاربران عذرخواهی می کنیم و قول می دهیم در آینده بهتر عمل کنیم."
منبع: 3dnews.ru