ในบล็อกของฉัน เกี่ยวกับข้อบกพร่องที่เพิ่งค้นพบซึ่งส่งผลให้รหัสผ่านของผู้ใช้ G Suite บางรายถูกจัดเก็บโดยไม่เข้ารหัสไว้ในไฟล์ข้อความธรรมดา ข้อผิดพลาดนี้มีมาตั้งแต่ปี 2005 อย่างไรก็ตาม Google อ้างว่าไม่พบหลักฐานใด ๆ ที่แสดงว่ารหัสผ่านใด ๆ เหล่านี้ตกไปอยู่ในมือของผู้โจมตีหรือถูกใช้ในทางที่ผิด อย่างไรก็ตาม บริษัทจะรีเซ็ตรหัสผ่านที่อาจได้รับผลกระทบและแจ้งให้ผู้ดูแลระบบ G Suite ทราบถึงปัญหานี้
G Suite คือ Gmail เวอร์ชันองค์กรและแอปอื่นๆ ของ Google และเห็นได้ชัดว่ามีข้อบกพร่องเกิดขึ้นในผลิตภัณฑ์นี้เนื่องจากฟีเจอร์ที่ออกแบบมาสำหรับธุรกิจโดยเฉพาะ ในช่วงเริ่มต้นของบริการ ผู้ดูแลระบบของบริษัทสามารถใช้แอปพลิเคชัน G Suite เพื่อตั้งรหัสผ่านผู้ใช้ด้วยตนเอง เช่น ก่อนที่พนักงานใหม่จะเข้าร่วมระบบ หากเขาใช้ตัวเลือกนี้ คอนโซลผู้ดูแลระบบจะบันทึกรหัสผ่านดังกล่าวเป็นข้อความธรรมดาแทนที่จะแฮชรหัสผ่าน ต่อมา Google ได้เอาความสามารถนี้ไปจากผู้ดูแลระบบ แต่รหัสผ่านยังคงอยู่ในไฟล์ข้อความ
ในโพสต์ Google พยายามอย่างยิ่งที่จะอธิบายว่าการแฮชแบบเข้ารหัสทำงานอย่างไร เพื่อให้ความแตกต่างที่เกี่ยวข้องกับข้อผิดพลาดมีความชัดเจน แม้ว่ารหัสผ่านจะถูกจัดเก็บในรูปแบบข้อความที่ชัดเจน แต่รหัสผ่านเหล่านั้นอยู่บนเซิร์ฟเวอร์ของ Google ดังนั้นบุคคลที่สามจึงสามารถเข้าถึงได้โดยการแฮ็กเข้าสู่เซิร์ฟเวอร์เท่านั้น (เว้นแต่พวกเขาจะเป็นพนักงานของ Google)
Google ไม่ได้บอกว่ามีผู้ใช้จำนวนเท่าใดที่อาจได้รับผลกระทบ นอกจากบอกว่าเป็น "กลุ่มย่อยของลูกค้าองค์กร G Suite" ซึ่งน่าจะเป็นใครก็ตามที่ใช้ G Suite ในปี 2005 แม้ว่า Google จะไม่พบหลักฐานว่าใครก็ตามใช้การเข้าถึงนี้อย่างประสงค์ร้าย แต่ก็ยังไม่ชัดเจนว่าใครบ้างที่อาจเข้าถึงไฟล์ข้อความเหล่านี้
ไม่ว่าในกรณีใด ปัญหาได้รับการแก้ไขแล้ว และ Google แสดงความเสียใจในโพสต์เกี่ยวกับปัญหานี้: “เราให้ความสำคัญกับความปลอดภัยของลูกค้าองค์กรของเราเป็นอย่างมาก และภูมิใจที่ได้ส่งเสริมแนวทางปฏิบัติด้านความปลอดภัยของบัญชีชั้นนำของอุตสาหกรรม ในกรณีนี้ เราไม่เป็นไปตามมาตรฐานของเราหรือมาตรฐานของลูกค้าของเรา เราต้องขออภัยต่อผู้ใช้และสัญญาว่าจะทำให้ดีขึ้นในอนาคต"
ที่มา: 3dnews.ru