ذخیره گذرواژه کاربران Gsuit گوگل در یک فایل متنی ساده

ذخیره گذرواژه کاربران GSuit گوگل در یک فایل متنی ساده

گسترش استفاده از سرویس‌های مجازی و اینترنت در کنار مزایایی که به کاربران عرضه می‌کند، چالش‌ها و مشکلات امنیتی جدیدی هم به همراه دارد. یکی از این چالش‎ها، نقطه ضعف‌های راهکارهای قدیمی است که به مرور زمان تبدیل به دردسرهای بزرگی برای شرکت‌ها شده‌ است.

این مسئله در مورد شرکت‌های عظیم و معتبری نظیر گوگل هم صادق است. به تازگی گوگل در بیانیه‌ای اعلام کرده است گذرواژه برخی از مشتریان سرویس‌های G Suit این شرکت -از سال ۲۰۰۵ تا زمان کشف این موضوع در آوریل امسال-، در فایل متنی ذخیره و نگهداری می‌شد. اما این غول دنیای جستجو به تعداد دقیق مشتریانی که تحت تاثیر این مشکل قرار گرفته‌اند، اشاره نکرده است.

GSuit چیست؟

G Suit یک مجموعه از سرویس‌های سازمانی گوگل است که خدمات مربوط به بهره‌وری، ابزارهای تعاملی، برنامه‌ها و محصولات توسعه یافته در آن ارائه می‌شود. تمام ابزارهای G Suite مبتنی بر تکنولوژی ابری هستند. به عبارت دیگر تمامی داده‌ها در سرورهای گوگل ذخیره شده و از همه جا در دسترس خواهند بود. شرکت گوگل بیش از پنج میلیون مشتری سازمانی دارد که از Gsuit استفاده می‌کنند.

مشکل امنیتی در نحوه ارائه قابلیت مدیریت در G Suit

طبق گفته گوگل این مشکل ناشی از پیاده‌سازی اشتباه یکی از قابلیت‌های مدیریتی بود که در نتیجه آن هنگام تنظیم و بازیابی رمز عبور گذرواژه‌ها به صورت متن‌های ساده در سرورهای داخلی گوگل ذخیره می‌شدند.

معمولا برای ذخیره گذرواژه‌ها باید آنها را بصورت Hash شده در سیستم ثبت کرد تا کسی نتواند به مقدار گذرواژه پی ببرد. ولی قابلیت مدیریت G Suit به مدیران این اجازه را می‌داد که بصورت دستی بتوانند گذرواژه کاربران خود بارگذاری، تنظیم و بازیابی کنند. در طی این فرایند گذرواژه بدون این که hash شود در سرورهای داخلی گوگل ثبت می‌شد. پس از کشف این مشکل امنیتی، گوگل این قابلیت مدیریت را حذف کرد.

ظاهرا این نقص امنیتی شامل هیچکدام از حسابهای مشتریان Gmail نمی‌شود. همچنین شرکت گوگل ادعا می‌کند این مشکل برطرف شده است و هیچ شواهدی مبنی بر سوءاستفاده از گذرواژه‌های افراد کشف نکرده است.

گوگل اعلام کرده است مشکل امنیتی دیگری را هم در سیستم رفع خطای ورود کاربران GSuit شناسایی کرده است و در حال برطرف کردن آن است. طبق گفته این شرکت، زیرمجموعه‌ای از گذرواژه‌های هش‌نشده  Gsuit به مدت دو هفته به اشتباه جایی در سرورهای داخلی گوگل نگهداری شده بودند و تعداد محدودی از کارکنان گوگل مجاز به دسترسی به این سیستم‌ها بودند. البته این موضوع نیز حل شده است و گذرواژه حساب‌هایی که به دلیل این ایراد تحت‌تاثیر قرار گرفته‌اند را تغییر کرده‌اند.

وجود مشکل امنیتی مشابه در Facebook ,GitHub ,Twitter

متاسفانه مسئله نگه‌داری گذرواژه کاربران به صورت محافظت نشده در برخی از مشهورترین و پرکاربرترین وب‌سایت‌ها و شبکه‌های اجتماعی هم وجود دارد. در مارچ 2019، فیسبوک اعلام کرد که گذرواژه صدها میلیون کاربر خود را در فایل متنی ساده ذخیره کرده بود.

TwitterوGitHub  نیز در سال گذشته به وجود خطاهای امنیتی مشابه اقرار کرده‌اند و به کاربران خود توصیه کرده‌اند به‌دلیل وجود حفره‌ امنیتی، گذرواژه‌های خود را تغییر دهند.

درباره آریس

آریس خدمات خود را در زمینه‌های مشاوره، طراحی و راه‌اندازی مراکز داده، تولید محصولات نرم‌افزاری مبتنی بر تکنولوژی‌های متن‌باز و مشاوره نرم‌افزار به مشتریان خود عرضه می‌دارد. امروزه شرکت آریس ارایه دهنده محصولات و خدمات مختلفی است و مشتریان آن را سازمان‌ها و شرکت‌های بزرگ و کوچک تشکیل می‌دهند. 

ارتباط با آریس

 تهران، یوسف آباد، بالاتر از میدان سلماس، خیابان۱۰/۱، پلاک ۵۰، واحد ۳

کد پستی ۱۴۱۳۷۶۳۱۶۵

  ۸۸۰۲۴۶۸۰ (۰۲۱)

  info@arissystem.com