3 دسامبر 2022

به خطر افتادن امنیت گذرواژه گوگل GSuit

در بیانیه اخیری که در خصوص امنیت گذرواژه گوگل منتشر شد، اعلام شده است که گذرواژه برخی از مشتریان سرویس‌های G Suit این شرکت -از سال ۲۰۰۵ تا زمان کشف این موضوع در آوریل امسال-، در فایل متنی ذخیره و نگهداری می‌شد. اما این غول دنیای جستجو به تعداد دقیق مشتریانی که تحت تاثیر این مشکل قرار گرفته‌اند، اشاره نکرده است.

گسترش استفاده از سرویس‌های مجازی و اینترنت در کنار مزایایی که به کاربران عرضه می‌کند، چالش‌ها و مشکلات امنیتی جدیدی هم به همراه دارد. یکی از این چالش‎ها، نقطه ضعف‌های راهکارهای قدیمی است که به مرور زمان تبدیل به دردسرهای بزرگی برای شرکت‌ها شده‌ است. این مسئله در مورد شرکت‌های عظیم و معتبری نظیر گوگل هم صادق است.

GSuit چیست؟

G Suit یک مجموعه از سرویس‌های سازمانی گوگل است که خدمات مربوط به بهره‌وری، ابزارهای تعاملی، برنامه‌ها و محصولات توسعه یافته در آن ارائه می‌شود. تمام ابزارهای G Suite مبتنی بر تکنولوژی ابری هستند. به عبارت دیگر تمامی داده‌ها در سرورهای گوگل ذخیره شده و از همه جا در دسترس خواهند بود. شرکت گوگل بیش از پنج میلیون مشتری سازمانی دارد که از Gsuit استفاده می‌کنند.

مشکل امنیت گذرواژه گوگل در GSuit

مشکل امنیت گذرواژه گوگل ناشی از پیاده‌سازی اشتباه یکی از قابلیت‌های مدیریتی بود که در نتیجه آن هنگام تنظیم و بازیابی اطلاعات ورود، گذرواژه‌ها به صورت متن‌های ساده در سرورهای داخلی گوگل ذخیره می‌شدند.

معمولا برای ذخیره گذرواژه‌ها باید آنها را بصورت Hash شده در سیستم ثبت کرد تا کسی نتواند به مقدار گذرواژه پی ببرد. ولی قابلیت مدیریت G Suit به مدیران این اجازه را می‌داد که بصورت دستی بتوانند گذرواژه کاربران خود بارگذاری، تنظیم و بازیابی کنند. در طی این فرایند امنیت گذرواژه گوگل دچار مشکل شده و گذرواژه‌ها بدون این که hash شود در سرورهای داخلی گوگل ثبت می‌شد. پس از کشف این مشکل امنیتی، گوگل این قابلیت مدیریت را حذف کرد.

گذرواژه گوگل در فایل متنی
مشکل امنیت گذرواژه گوگل

ظاهرا این نقص امنیتی شامل هیچکدام از حسابهای مشتریان Gmail نمی‌شود. همچنین شرکت گوگل ادعا می‌کند این مشکل برطرف شده است و هیچ شواهدی مبنی بر سوءاستفاده از گذرواژه‌های افراد کشف نکرده است.

گوگل اعلام کرده است که علاوه بر مشکل امنیت گذرواژه گوگل کاربران، مسئله امنیتی دیگری را هم در سیستم رفع خطای ورود کاربران GSuit شناسایی کرده است و در حال برطرف کردن آن است. طبق گفته این شرکت، زیرمجموعه‌ای از گذرواژه‌های هش‌نشده  Gsuit به مدت دو هفته به اشتباه جایی در سرورهای داخلی گوگل نگهداری شده بودند و تعداد محدودی از کارکنان گوگل مجاز به دسترسی به این سیستم‌ها بودند. البته این موضوع نیز حل شده است و گذرواژه حساب‌هایی که به دلیل این ایراد تحت‌تاثیر قرار گرفته‌اند را تغییر کرده‌اند.

تکرار اشتباه گوگل در Facebook ,GitHub ,Twitter

متاسفانه مسئله نگه‌داری گذرواژه کاربران به صورت محافظت نشده در برخی از مشهورترین و پرکاربرترین وب‌سایت‌ها و شبکه‌های اجتماعی هم وجود دارد. در مارچ 2019، فیسبوک اعلام کرد که گذرواژه صدها میلیون کاربر خود را در فایل متنی ساده ذخیره کرده بود.

TwitterوGitHub  نیز در سال گذشته به وجود خطاهای امنیتی مشابه اقرار کرده‌اند و به کاربران خود توصیه کرده‌اند به‌دلیل وجود حفره‌ امنیتی، گذرواژه‌های خود را تغییر دهند.

اولین نفری باشید که مقاله ها را دریافت می‌کنید

مقالات مشابه

قوانین به کارگیری نرم افزار متن باز در جهان

آنچه امروزه در بسیاری از کشورهای جهان به عنوان نرم‌افزارهای متن‌باز شناخته شده است، زمانی جزو منابع کم‌‌ارزش در حوزه‌ی فن‌آوری اطلاعات در نظر گرفته می‌شد. در حال حاضر استفاده از تولیدات متن‌باز با روندی رو به رشد همراه شده و استقبال از آنها رو به افزایش است.

پیمایش به بالا
به بالا بروید