Leifeng.com'a göre, 22 Mayıs'ta Google, şirketin yakın zamanda 2005'ten beri var olan bir güvenlik açığını keşfettiğini açıkladı. Güvenlik açığı, bazı G Suite kurumsal kullanıcılarının şifrelerinin düz metin olarak saklanmasına neden oldu.
Kaç kurumsal kullanıcının etkilendiği belli değil, ancak Google, kullanıcıların şifrelerine yasa dışı olarak erişildiğine dair hiçbir kanıt olmadığını açıkça belirtti. Ayrıca Google, ilgili şirketlerin G Suite yöneticilerine bildirimde bulunmak veya etkilenebilecek hesap şifrelerini sıfırlamak gibi aktif olarak düzeltici önlemler almaktadır.
G Suite, Gmail, Google Cloud Drive, Google Dokümanlar ve diğer uygulamalardan oluşan bir ofis paketidir. Google, bu yıl Şubat ayında Fortune 500 şirketlerinin% 60'ı dahil olmak üzere dünya çapında 5 milyon kuruluşun hizmete abone olduğunu açıkladı. .
Güvenlik açığı, tam olarak Google'ın kurumlar için tasarlanmış özellikleri nedeniyle ortaya çıktı.
2005 yılında, şirketin üye hesaplarını yönetmesini kolaylaştırmak, özellikle yeni çalışanların işe girmesine yardımcı olmak için, şirketin G Suite yöneticileri, üye şifrelerini manuel olarak yükleyebildi, ayarlayabildi ve geri yükleyebildi. Ancak bu yöntem kusurludur, çünkü şifreyi karma şifreleme yoluyla Google sunucularında saklamak yerine yönetim konsolunda açık metin olarak depolar.
Bu şekilde kullanıcının şifresi risk altındadır. Daha sonra Google bu özelliği kaldırdı.
Google Mühendislikten Sorumlu Başkan Yardımcısı Suzanne Frey şunları söyledi:
Bu konuda net olmalıyız. Bu şifreler karma şifreleme ile saklanmasa da, Google'ın güvenli bir şekilde şifrelenmiş altyapısında kalmaya devam ediyor. Şimdi, bu sorun çözüldü ve bu parolalara uygunsuz bir şekilde erişildiğine veya kötüye kullanıldığına dair net bir kanıt yok. Ek olarak, bu düz metin şifreler her zaman Google sunucularında saklanır ve açık İnternette depolanan şifrelerden daha zor erişilir.
Google'ın resmi açıklaması ayrıca, karma şifreleme depolamanın çalışma prensibini açıklamak için çok yer harcadı. İnsanların bu güvenlik açığını diğer şifre ifşa sorunları ile sınıflandırmasını istemiyorlar gibi görünüyor.
Ancak yine de insanlar bu durumdan endişe duyuyor. TrustedSec CEO'su David Kennedy şunları söyledi:
Google'ın bu konuda her zaman iyi bir itibarı olmuştur, ancak bu güvenlik açığı 14 yıldır var ve şimdiye kadar keşfedilmemiş, bu da kaçınılmaz olarak rahatsız edici.
Resim kredisi: Angel Garcia / Bloomberg / Getty Images
Leifeng.com, Google'ın bu ayın başlarında G Suite yeni kullanıcı kayıt sürecinde sorun giderirken başka bir açık metin şifre güvenlik açığı keşfettiğini öğrendi.
Bu yılın Ocak ayından bu yana, G Suite'in yeni kullanıcılarının kaydını tamamladıktan sonra, Google'ın dahili sistemi kullanıcının şifresiz metin şifrelerini otomatik olarak saklayacaktır. Bu şifrelenmemiş şifreler 14 güne kadar saklanabilir, ancak sistem yalnızca sınırlı sayıda yetkili çalışana açıktır.
Şu anda, neredeyse yarım yıldır var olan bu yeni güvenlik açığı da giderildi ve bu verilere kötü amaçla erişildiğine dair hiçbir kanıt da yok.
Suzanne Frey blogda şunları yazdı:
Kimlik doğrulama sistemimizde şifreye ek olarak çok katmanlı otomatik savunma sistemi de bulunmaktadır, kötü niyetli bir ziyaretçi şifreyi bilse bile sistem giriş yapmasını engelleyecektir. Ayrıca, G Suite yöneticilerine, kendi çalışan hesaplarımızın dayandığı güvenlik anahtarları da dahil olmak üzere "iki adımlı doğrulama" (2SV) seçeneği de sunuyoruz.
Leifeng.com Not: 2VS, 2 adımlı doğrulama anlamına gelir ve en yaygın ifade biçimi, e-posta / mobil doğrulama kodu yoluyla iki adımlı doğrulamadır.
Blogun sonunda, Suzanne Frey de Google'ın bu olay için özür dileyerek şunları yazarak:
Kurumsal kullanıcıların güvenliğine büyük önem veriyoruz ve kullanıcı güvenliği konusundaki uygulamalarımızla gurur duyuyoruz. Ancak bu sefer kendi standartlarımızı ve kullanıcılarımızın beklentilerini karşılayamadık. Burada özür dileriz ve gelecekte daha iyisini yapmaya çalışacağız.
Leifeng.com, Google, Facebook, Instagram, Twitter ve GitHub'a ek olarak benzer güvenlik açıklarına sahip olduğunu öğrendi.
Bu yılın Mart ayında Facebook, "yüz milyonlarca" Facebook kullanıcısının şifrelerinin düz metin olarak saklandığını ve 20.000'e kadar Facebook çalışanının bu şifrelere erişebileceğini açıklarken, Twitter ayrıca bu yıl Mart ayında toplam 330 milyon Twitter kullanıcısının şifrelerini değiştirmesini tavsiye etti. . Ancak her iki şirket de kullanıcı parolalarını otomatik olarak sıfırlamaya gerek olmadığına inanıyor.
TrustedSec CEO'su David Kennedy şunları söyledi:
Bu firmaların zafiyetleri, şifresiz metin şifrelerinin şirket içinde ifşa edilmesine yol açarken, şirket içinde dahi ciddi gizlilik ve güvenlik riskleri getirecektir.
Bir sözcü, Google'ın veri koruma düzenleyicisine ihlal konusunda bildirimde bulunduğunu doğruladı. Google, son derece dikkatli olmak üzere, yöneticinin şifreleri tehdit altında olan G Suite yöneticilerini de bilgilendirecektir. Şifreyi sıfırlamadan, Google şifrenin sıfırlanmasına yardımcı olacaktır.
Google, olaydan sonra ilgili düzenleyici kurumları bilgilendirmek için girişimde bulundu ve şifrelerini sıfırlamaları için aktif olarak firmalarla iletişime geçti, bu bir çare olarak değerlendirilebilir.
Ancak Google, bu güvenlik açığını 14 yıldır keşfetmedi, peki bir sonraki güvenlik açığını keşfetmesi ne kadar sürer? Bu boşlukları kim ödeyecek?