Google Bất Ngờ Lưu Trữ Mật Khẩu Người Dùng Dưới Dạng Văn Bản Thường Từ Năm 2005

Lại một lần nữa: Google thông báo hôm nay rằng nó là ông lớn công nghệ mới nhất đã vô tình lưu trữ mật khẩu người dùng không bảo vệ trong văn bản thường. Người dùng G Suite, hãy chú ý.

Google cho biết lỗi ảnh hưởng đến "một phần nhỏ người dùng G Suite," có nghĩa là nó không ảnh hưởng đến các tài khoản cá nhân, nhưng lại ảnh hưởng đến một số tài khoản doanh nghiệp và doanh nghiệp, có những rủi ro và nhạy cảm riêng. Thông thường, công ty lưu trữ mật khẩu trên máy chủ của mình dưới dạng một trạng thái đã được mã hóa một cách hỗn loạn được biết đến là một giá trị băm. Nhưng một lỗi trong tính năng khôi phục mật khẩu của G Suite cho quản trị viên đã làm cho mật khẩu không được bảo vệ được lưu trữ trong cơ sở hạ tầng của bảng điều khiển, được gọi là bảng điều khiển quản trị. Google đã tắt các tính năng chứa lỗi.

Trước khi làm như vậy, mật khẩu có thể đã được truy cập bởi nhân viên Google được ủy quyền hoặc kẻ xâm nhập độc hại. Quản trị viên của mỗi tổ chức cũng có thể đã truy cập vào mật khẩu văn bản thường cho các tài khoản trong nhóm của họ.

Trong vòng 18 tháng qua, Twitter và Facebook đã gặp phải các lỗi mật khẩu văn bản thường của riêng họ. Nhưng trong khi cả hai công ty đều kết luận rằng việc tự động đặt lại mật khẩu người dùng là không cần thiết, Google đang thực hiện bước này "với tinh thần cẩn trọng." Lúc đó, Twitter không bình luận về việc lưu trữ mật khẩu người dùng của họ dưới dạng văn bản thường đã kéo dài bao lâu. Lỗi của Facebook đã quay lại năm 2012.

Lỗi của Google, trong khi đó, đã tồn tại từ năm 2005—một năm trước khi "Google For Work" trở thành một sản phẩm chính thức. Và trong khi công ty nhấn mạnh rằng không có bằng chứng nào cho thấy mật khẩu văn bản thường đã bị truy cập hoặc lạm dụng, 14 năm là một khoảng thời gian dài để dữ liệu nhạy cảm tồn tại mà không bị chú ý.

"Hệ thống xác thực của chúng tôi hoạt động với nhiều tầng phòng thủ hơn cả mật khẩu, và chúng tôi triển khai nhiều hệ thống tự động chặn cố gắng đăng nhập độc hại ngay cả khi kẻ tấn công biết mật khẩu," bà Suzanne Frey, Phó Chủ tịch Kỹ thuật của Google, viết trong một bài đăng trên blog. "Ngoài ra, chúng tôi cung cấp cho quản trị viên G Suite nhiều tùy chọn xác minh hai bước (2SV). ... Chúng tôi đặt rất nhiều tâm huyết vào việc bảo mật cho khách hàng doanh nghiệp của mình, và tự hào về việc đưa ra những tiêu chuẩn an toàn tài khoản hàng đầu trong ngành. Nhưng ở đây, chúng tôi đã không đạt đến các tiêu chuẩn của chính mình."

Google đang trong quá trình thông báo cho quản trị viên G Suite, và nói rằng nó cũng sẽ tự động đặt lại mọi mật khẩu bị ảnh hưởng mà chưa được thay đổi. Công ty phát hiện lỗi vào tháng 4 và một lỗi mật khẩu văn bản thường khác vào tháng 5 trong quá trình điều tra. Lỗi sau vô tình lưu trữ mật khẩu văn bản thường cho khách hàng mới của G Suite khi họ hoàn thành đăng ký. Lỗi đó chỉ có hiệu lực từ tháng 1 năm 2019, và những mật khẩu không băm chỉ được lưu trữ tối đa 14 ngày. Google nói rằng họ đã sửa cả lỗi văn bản thường trên bảng điều khiển quản trị chính và vấn đề luồng đăng ký gần đây hơn.

"Google thường có một lịch sử tốt trong việc nhanh chóng phát hiện lỗi và khắc phục chúng, vì vậy việc này tồn tại từ năm 2005 mà không bị phát hiện là đáng lo ngại," nói David Kennedy, Giám đốc điều hành của công ty kiểm thử xâm nhập doanh nghiệp TrustedSec. "Chúng tôi đã thấy điều này với Twitter, Facebook và nhiều tổ chức khác nơi các quy trình hoặc ứng dụng cổ điển dẫn đến việc mật khẩu văn bản thường bị tiết lộ bên trong. Và ngay cả khi chỉ là bên trong, nó vẫn tạo ra một vấn đề lớn về quyền riêng tư và an ninh."

Vì tất cả mật khẩu bị ảnh hưởng chưa được thay đổi sẽ được Google tự động đặt lại, bạn nên tập trung vào việc thêm xác minh hai yếu tố cho tài khoản G Suite của mình nếu bạn chưa có—và có lẽ bạn nên cầu nguyện rằng những mật khẩu này không bị chú ý trong vòng 14 năm.

Thêm nhiều bài viết tuyệt vời từ Mytour

• Tại sao tôi (vẫn) đam mê công nghệ: Bảo vệ cho một ngành công nghiệp khó khăn
• Xây dựng bản đồ xe buýt khi không có tuyến đường hoặc điểm dừng cố định
• Adaptation khí hậu không phải là sự đầu hàng. Đó là sự sống còn
• Chất chống nắng thấm vào máu của bạn
• “Nếu bạn muốn giết ai đó, chúng tôi là những người đúng”
• 💻 Nâng cấp trò chơi làm việc của bạn với những chiếc laptop, bàn phím, lựa chọn gõ khác nhau và tai nghe chống ồn mà đội ngũ Gear yêu thích
• 📩 Muốn thêm? Đăng ký bản tin hàng ngày của chúng tôi và không bao giờ bỏ lỡ những câu chuyện mới nhất và tuyệt vời nhất của chúng tôi