وقال لى فنغ شبكة الأخبار 22 مايو جوجل في بلوق، الشركة اكتشفت مؤخرا الثغرات الأمنية موجودة منذ عام 2005، ونقاط الضعف الناتجة في كلمة بعض المستعمل الشركة G جناح غير المخزنة في نص واضح.
وليس من الواضح كم عدد الشركات تأثرت، إلا أن جوجل واضحا أن ليس هناك أي دليل يشير إلى أن كلمة المرور الخاصة بالمستخدم مؤقتا تم الوصول إليها بطريقة غير شرعية. وبالإضافة إلى ذلك، وجوجل أيضا المشاركة بنشاط إجراءات تصحيحية، مثل إخطار الشركات ذات G جناح المسؤول، أو إعادة تعيين قد تتأثر كلمة مرور الحساب.
"سر" أربعة عشر عاما من الضعف وجدت
G جناح هو مزيج جناح المكتب من Gmail، قرص Google سحابة، محرر مستندات Google وغيرها من التطبيقات المقدمة، جوجل يكشف عن أنه في فبراير من هذا العام، أي ما مجموعه 5000000 المنظمات العالمية مشترك في الخدمة، بما في ذلك 60 من شركات فورتشن 500 .
وتعرض نشأت بالضبط لأن جوجل المزايا التي صممت خصيصا للشركات.
في عام 2005، من أجل تسهيل أعضاء إدارة حساب الشركة، وخاصة لمساعدة الموظفين الجدد، G جناح مديري الشركة يدويا تحميل، وإعداد أعضاء استعادة كلمة السر. ومع ذلك، هناك عيوب في هذا الطريق، لأنه سيوفر كلمة المرور في نص واضح إلى وحدة تحكم إدارة، بدلا من حفظها على خوادم Google من خلال تجزئة مشفرة.
ونتيجة لذلك، كلمة المرور الخاصة بالمستخدم في خطر. وفي وقت لاحق، إزالة Google هذه الميزة.
وقال سوزان فراي، نائب رئيس قسم الهندسة في غوغل:
يجب أن نكون واضحين أنه على الرغم من أنه لم يتم تخزين مشفرة هذه كلمة المرور المجزأة، لكنها تبقى مشفرة البنية التحتية جوجل. الآن، وقد تم حل هذه المشكلة، وليس هناك دليل واضح على أن كلمة المرور كان الوصول غير لائق أو سوء الاستخدام. وبالإضافة إلى ذلك، تم تخزين هذه كلمات مرور النص العادي على خوادم Google، والمزيد من الصعب الوصول إليها من تخزين كلمات المرور على الإنترنت مفتوحة.
قضى بيان رسمي جوجل أيضا الكثير من الفضاء لشرح مبدأ عمل تجزئة مخزنة مشفرة، لا يبدو أنها تريد الناس إلى ضعف الإفصاح كلمة المرور وغيرها من القضايا تصنف على أنها فئة.
ومع ذلك، لا تزال تشعر بالقلق من حول الوضع. وقال الرئيس التنفيذي ديفيد كينيدي TrustedSec الشركة:
في هذا الصدد تمت زيارتها جوجل دائما بسمعة جيدة، ومع ذلك، وجدت الخلل لمدة أربعة عشر عاما تم اكتشافه، وستجعل حتما الناس يشعرون بعدم الارتياح.
ضعف الجديد "مخفي" منذ ما يقرب من ستة أشهر
صور: صور انجيل جارسيا / بلومبرج / جيتي
أبلغت شبكة لى فنغ في وقت سابق من هذا الشهر، وجوجل في وقت عملية المستخدم الجديدة G جناح التسجيل لاستكشاف الأخطاء وإصلاحها، وجدت عادي نقاط الضعف كلمة مرور أخرى.
منذ يناير من هذا العام، بعد المستخدمين G جناح جديد من خلال تسجيلهم، والنظام الداخلي جوجل تخزن تلقائيا كلمة مرور عادي للمستخدم، هذه كلمات السر مشفرة تخزين تصل إلى 14 يوما، ولكن النظام مفتوح فقط لعدد محدود من الموظفين المعتمدين لديها.
حاليا، فإن وجود نوع جديد من الضعف ما يقرب من ستة أشهر إلى إصلاح، وأيضا لا يوجد دليل على أن هذه كانت الوصول إلى البيانات الخبيثة.
كتب سوزان فراي في بلوق:
بالإضافة إلى كلمة السر، له نحن نظام التوثيق أيضا نظام الدفاع متعدد الطبقات التلقائي، حتى لو كان زوار الخبيثة تعرف كلمة المرور، ونظام تسجيل الدخول لوقفه. وبالإضافة إلى ذلك، فإننا نقدم أيضا "التحقق بخطوتين" الخيار (2SV) للمسؤولين G جناح، بما في ذلك مفتاح الأمان، سوف تعتمد على هذه المفاتيح حساب موظفينا.
لى فنغ شبكة ملاحظة: 2VS وهي تحقق 2-خطوة، ومعظم شكل شائع من اثنين عامل التوثيق ويتم عن طريق البريد / كود الهاتف
في آخر بلوق، أعرب سوزان فراي جوجل أيضا عن أسفه للحادث، كتبت الصحيفة:
ونحن نعلق أهمية كبيرة على أمن المستخدم المؤسسة، وممارساتها في أمان المستخدم والاعتزاز. ولكن هذه المرة نحن لا تفي بالمعايير، ولكن أيضا لا تلبي توقعات المستخدمين. ونحن نعتذر، فإن مستقبل يسعى لنفعل ما هو أفضل.
وهناك عدد من الشركات الثغرات الأمنية مشابهة
وأبلغ ليو فنغ الشبكة أنه، بالإضافة إلى Google، الفيسبوك و Instagram و Twitter و جيثب لديهم نقاط ضعف أمنية مماثلة موجودة.
في مارس من هذا العام، وقال الفيسبوك "مئات الملايين" كلمة مرور الفيسبوك المستخدم المخزنة في واضحة، ما يصل إلى 20000 موظف الفيسبوك يمكن الوصول إلى كلمات السر، فمن المستحسن تويتر أيضا في مارس من هذا العام، أي ما مجموعه 330 مليون مستخدمي تويتر لتغيير كلمات المرور الخاصة بهم . ومع ذلك، شهدت كل من الشركات لا حاجة إلى كلمات السر للمستخدم إعادة تعيين تلقائيا.
وقال الرئيس التنفيذي ديفيد كينيدي TrustedSec الشركة:
هذه الثغرات الشركات تؤدي إلى كلمات مرور النص الواضح في صفوف الجماهير، ولكن، حتى داخل الشركة، وسوف تجلب مخاطر الخصوصية وأمنية خطيرة.
وأكدت متحدثة باسم أن جوجل لديها هذا الضعف في حال تم إبلاغ المنظمين حماية البيانات؛ لبحذر شديد، وجوجل إبلاغ تلك الموجودة في كلمة مرور المسؤول G جناح في خطر، إذا كان المسؤول لا إعادة تعيين كلمة المرور الخاصة بك، وسوف جوجل مساعدتهم على إعادة تعيين.
مبادرة جوجل لإبلاغ السلطات التنظيمية ذات الصلة بعد وقوعها، والاتصال بنشاط الشركة إعادة تعيين كلمة المرور، ويمكن اعتبار لمعالجة هذا الوضع.
ومع ذلك، وجوجل في ما يصل الى 14 عاما وقت فشلت في العثور على عيب، ثم وجدت في اليوم التالي ثغرة كم من الوقت يستغرق؟ الذي سيدفع لهذه الثغرات؟
