ProHoster > Blog > berita internet > Google menyimpan beberapa kata laluan dalam fail teks selama 14 tahun

Google menyimpan beberapa kata laluan dalam fail teks selama 14 tahun

Di blog saya Google melaporkan tentang pepijat yang ditemui baru-baru ini yang mengakibatkan beberapa kata laluan pengguna G Suite disimpan tidak disulitkan di dalam fail teks biasa. Pepijat ini telah wujud sejak 2005. Walau bagaimanapun, Google mendakwa bahawa ia tidak menemui sebarang bukti bahawa mana-mana kata laluan ini jatuh ke tangan penyerang atau disalahgunakan. Walau bagaimanapun, syarikat akan menetapkan semula mana-mana kata laluan yang mungkin terjejas dan memberitahu pentadbir G Suite tentang isu tersebut.

G Suite ialah versi perusahaan Gmail dan apl Google yang lain, dan pepijat nampaknya berlaku dalam produk ini disebabkan oleh ciri yang direka khusus untuk perniagaan. Pada permulaan perkhidmatan, pentadbir syarikat boleh menggunakan aplikasi G Suite untuk menetapkan kata laluan pengguna secara manual: katakan, sebelum pekerja baharu menyertai sistem. Jika dia menggunakan pilihan ini, konsol pentadbir akan menyimpan kata laluan tersebut sebagai teks biasa dan bukannya mencincangnya. Google kemudiannya mengambil alih keupayaan ini daripada pentadbir, tetapi kata laluan kekal dalam fail teks.

Google menyimpan beberapa kata laluan dalam fail teks selama 14 tahun

Dalam siarannya, Google bersusah payah menjelaskan cara pencincangan kriptografi berfungsi supaya nuansa yang dikaitkan dengan ralat itu jelas. Walaupun kata laluan disimpan dalam teks yang jelas, kata laluan itu berada pada pelayan Google, jadi pihak ketiga hanya boleh mendapatkan akses kepada mereka dengan menggodam pelayan (melainkan mereka pekerja Google).

Google tidak menyatakan bilangan pengguna yang berpotensi terjejas, selain mengatakan ia adalah "subset pelanggan perusahaan G Suite"β€”kemungkinan sesiapa sahaja yang menggunakan G Suite pada tahun 2005. Walaupun Google tidak dapat menjumpai bukti bahawa sesiapa menggunakan akses ini secara berniat jahat, tidak jelas sepenuhnya siapa yang mungkin mempunyai akses kepada fail teks ini.

Walau apa pun, isu itu kini telah dibetulkan dan Google menyatakan kekesalan dalam siarannya tentang isu tersebut: β€œKami mengambil serius tentang keselamatan pelanggan perusahaan kami dan berbangga untuk mempromosikan amalan keselamatan akaun yang terkemuka dalam industri. Dalam kes ini, kami tidak memenuhi piawaian kami atau piawaian pelanggan kami. Kami memohon maaf kepada pengguna dan berjanji untuk melakukan yang lebih baik pada masa hadapan.”



Sumber: 3dnews.ru

Tambah komen