ذخیره‌سازی گذرواژه‌های کاربران GSuite به‌صورت متن عادی به مدت ۱۴ سال

بعد از فیس‌بوک و توییتر، به‌تازگی شرکت گوگل به‌طور تصادفی متوجه شده است که گذرواژه‌های کاربران سرویس GSuite را به‌صورت متن عادی در سرورهای خود ذخیره و نگهداری می‌کرد. این موضوع به آن معنی است آن دسته از کارکنان گوگل که به سرورهای این شرکت دسترسی داشته‌اند، در طول ۱۴ سال اخیر توانسته‌اند گذرواژه‌های کاربران را ببینند.

شرکت گوگل به‌تازگی در یک پست وبلاگی اعلام کرده که سرویس GSuite به مدت ۱۴ سال به اشتباه رمزهای عبور هش نشده برخی از کاربران را در سرورهای داخلی این شرکت، به‌صورت متن ساده ذخیره کرده است.

به گفته این شرکت، این نقص امنیتی که در حال حاضر اصلاح شده، در مکانیزم بازیابی رمز عبور برای کاربران GSuite وجود داشته که پیش از این از وجود آن بی‌اطلاع بودند.

شرکت گوگل هم‌چنین اعلام کرده است که هیچ یک از گذرواژه‌های کاربران در قالب داده‌های متنی ساده به‌صورت عمومی در فضای اینترنت در دسترس قرار نگرفته‌ و تنها در سرورهای رمزگذاری شده این شرکت به‌صورت امن نگهداری می‌شدند که در حال حاضر نیز هیچ مدرکی درباره دسترسی غیرمجاز افراد به این گذرواژه‌ها مشاهده نشده است.

گوگل همچنین توضیح داده است که این نقص امنیتی محدود به کاربران سرویس GSuite بوده و تاثیری روی حساب‌های کاربران سرویس Gmail نداشته است.

اگرچه این شرکت مشخص نکرده است که چه تعداد از کاربران ممکن است تحت تاثیر این نقص امنیتی قرار داشته باشند، اما با توجه به قدمت این نقص که به ۱۴ سال پیش باز می‌گردد، پیش‌بینی می‌شود که تمام کاربران سرویس GSuite تحت تاثیر این مساله قرار گرفته باشند. گوگل گفته است که به کاربران تحت تاثیر این موضوع، توضیحات بیشتر در رابطه با اقدامات امنیتی پیشگیرانه را ارسال کرده است.

گوگل آخرین شرکت فناوری است که به‌طور تصادفی رمزهای عبور هش نشده را در سرورهای داخلی خود ذخیره می‌کند. چند هفته پیش اخبار مشابه برای فیس‌بوک منتشر شده بود که حکایت از ذخیره‌سازی گذرواژه‌های اینستاگرام و فیسبوک برخی از کاربران به‌صورت داده متنی ساده در سرورهای داخلی این داشت. حدود یک سال پیش نیز توییتر اعلام کرده بود که گذرواژه‌های بیش از ۳۳۰ میلیون کاربر این شبکه اجتماعی به صورت متنی عادی در سرورهای داخلی این شرکت ذخیره میٰ‌شد که مشکل آن را شناسایی و رفع کرده است.

 

 

توضیحات بیشتر در:

Notifying administrators about unhashed password storage