در بیانیه اخیری که در خصوص امنیت گذرواژه گوگل منتشر شد، اعلام شده است که گذرواژه برخی از مشتریان سرویسهای G Suit این شرکت -از سال ۲۰۰۵ تا زمان کشف این موضوع در آوریل امسال-، در فایل متنی ذخیره و نگهداری میشد. اما این غول دنیای جستجو به تعداد دقیق مشتریانی که تحت تاثیر این مشکل قرار گرفتهاند، اشاره نکرده است.
گسترش استفاده از سرویسهای مجازی و اینترنت در کنار مزایایی که به کاربران عرضه میکند، چالشها و مشکلات امنیتی جدیدی هم به همراه دارد. یکی از این چالشها، نقطه ضعفهای راهکارهای قدیمی است که به مرور زمان تبدیل به دردسرهای بزرگی برای شرکتها شده است. این مسئله در مورد شرکتهای عظیم و معتبری نظیر گوگل هم صادق است.
GSuit چیست؟
G Suit یک مجموعه از سرویسهای سازمانی گوگل است که خدمات مربوط به بهرهوری، ابزارهای تعاملی، برنامهها و محصولات توسعه یافته در آن ارائه میشود. تمام ابزارهای G Suite مبتنی بر تکنولوژی ابری هستند. به عبارت دیگر تمامی دادهها در سرورهای گوگل ذخیره شده و از همه جا در دسترس خواهند بود. شرکت گوگل بیش از پنج میلیون مشتری سازمانی دارد که از Gsuit استفاده میکنند.
مشکل امنیت گذرواژه گوگل در GSuit
مشکل امنیت گذرواژه گوگل ناشی از پیادهسازی اشتباه یکی از قابلیتهای مدیریتی بود که در نتیجه آن هنگام تنظیم و بازیابی اطلاعات ورود، گذرواژهها به صورت متنهای ساده در سرورهای داخلی گوگل ذخیره میشدند.
معمولا برای ذخیره گذرواژهها باید آنها را بصورت Hash شده در سیستم ثبت کرد تا کسی نتواند به مقدار گذرواژه پی ببرد. ولی قابلیت مدیریت G Suit به مدیران این اجازه را میداد که بصورت دستی بتوانند گذرواژه کاربران خود بارگذاری، تنظیم و بازیابی کنند. در طی این فرایند امنیت گذرواژه گوگل دچار مشکل شده و گذرواژهها بدون این که hash شود در سرورهای داخلی گوگل ثبت میشد. پس از کشف این مشکل امنیتی، گوگل این قابلیت مدیریت را حذف کرد.
ظاهرا این نقص امنیتی شامل هیچکدام از حسابهای مشتریان Gmail نمیشود. همچنین شرکت گوگل ادعا میکند این مشکل برطرف شده است و هیچ شواهدی مبنی بر سوءاستفاده از گذرواژههای افراد کشف نکرده است.
گوگل اعلام کرده است که علاوه بر مشکل امنیت گذرواژه گوگل کاربران، مسئله امنیتی دیگری را هم در سیستم رفع خطای ورود کاربران GSuit شناسایی کرده است و در حال برطرف کردن آن است. طبق گفته این شرکت، زیرمجموعهای از گذرواژههای هشنشده Gsuit به مدت دو هفته به اشتباه جایی در سرورهای داخلی گوگل نگهداری شده بودند و تعداد محدودی از کارکنان گوگل مجاز به دسترسی به این سیستمها بودند. البته این موضوع نیز حل شده است و گذرواژه حسابهایی که به دلیل این ایراد تحتتاثیر قرار گرفتهاند را تغییر کردهاند.
تکرار اشتباه گوگل در Facebook ,GitHub ,Twitter
متاسفانه مسئله نگهداری گذرواژه کاربران به صورت محافظت نشده در برخی از مشهورترین و پرکاربرترین وبسایتها و شبکههای اجتماعی هم وجود دارد. در مارچ 2019، فیسبوک اعلام کرد که گذرواژه صدها میلیون کاربر خود را در فایل متنی ساده ذخیره کرده بود.
TwitterوGitHub نیز در سال گذشته به وجود خطاهای امنیتی مشابه اقرار کردهاند و به کاربران خود توصیه کردهاند بهدلیل وجود حفره امنیتی، گذرواژههای خود را تغییر دهند.
