شرکت گوگل بهتازگی در یک پست وبلاگی اعلام کرده که سرویس GSuite به مدت ۱۴ سال به اشتباه رمزهای عبور هش نشده برخی از کاربران را در سرورهای داخلی این شرکت، بهصورت متن ساده ذخیره کرده است.
به گفته این شرکت، این نقص امنیتی که در حال حاضر اصلاح شده، در مکانیزم بازیابی رمز عبور برای کاربران GSuite وجود داشته که پیش از این از وجود آن بیاطلاع بودند.
شرکت گوگل همچنین اعلام کرده است که هیچ یک از گذرواژههای کاربران در قالب دادههای متنی ساده بهصورت عمومی در فضای اینترنت در دسترس قرار نگرفته و تنها در سرورهای رمزگذاری شده این شرکت بهصورت امن نگهداری میشدند که در حال حاضر نیز هیچ مدرکی درباره دسترسی غیرمجاز افراد به این گذرواژهها مشاهده نشده است.
گوگل همچنین توضیح داده است که این نقص امنیتی محدود به کاربران سرویس GSuite بوده و تاثیری روی حسابهای کاربران سرویس Gmail نداشته است.
اگرچه این شرکت مشخص نکرده است که چه تعداد از کاربران ممکن است تحت تاثیر این نقص امنیتی قرار داشته باشند، اما با توجه به قدمت این نقص که به ۱۴ سال پیش باز میگردد، پیشبینی میشود که تمام کاربران سرویس GSuite تحت تاثیر این مساله قرار گرفته باشند. گوگل گفته است که به کاربران تحت تاثیر این موضوع، توضیحات بیشتر در رابطه با اقدامات امنیتی پیشگیرانه را ارسال کرده است.
گوگل آخرین شرکت فناوری است که بهطور تصادفی رمزهای عبور هش نشده را در سرورهای داخلی خود ذخیره میکند. چند هفته پیش اخبار مشابه برای فیسبوک منتشر شده بود که حکایت از ذخیرهسازی گذرواژههای اینستاگرام و فیسبوک برخی از کاربران بهصورت داده متنی ساده در سرورهای داخلی این داشت. حدود یک سال پیش نیز توییتر اعلام کرده بود که گذرواژههای بیش از ۳۳۰ میلیون کاربر این شبکه اجتماعی به صورت متنی عادی در سرورهای داخلی این شرکت ذخیره میٰشد که مشکل آن را شناسایی و رفع کرده است.
توضیحات بیشتر در:
- Notifying administrators about unhashed password storage