מחדל בגוגל: סיסמאות של תאגידים אוחסנו 14 שנה ללא הצפנה
תקלה במערכת גיבוי הסיסמאות ואיחזור הפרטים של G Suite - תשתית הענן הארגוני של גוגל - גרמה להצגת סיסמאות בצורה נוחה לשימוש פורצים. החברה מיהרה לפנות לעסקים שחשופים לתקיפה, ותאלץ אותם לשנות סיסמאות גישה
גוגל חשפה ליקוי אבטחה חמור בתשתית G Suite - שירות אפליקציות הענן שהיא מספקת ללקוחות ארגוניים; החברה דיווחה שמאז 2005 אוחסנו סיסמאות של משתמשים בעלי הרשאות ניהול מלאות ללא הצפנה. מיליוני עסקים נשענית על תשתית זו, מה שעלול לחשוף אותם ואת משתמשיהם לפריצות.
- פרצת אבטחה חשפה את יעדי הטיסה של ראש הממשלה ובכירי מערכת הביטחון
- גנבים פרצו לכם לטלפון או למחשב? זה מה שאתם צריכים לעשות עכשיו
- מיקרוסופט מזהירה מפני באג בווינדוס שמקל על חדירת האקרים
גוגל לא חשפה את המספר המלא של הסיסמאות שאוחסנו בצורה לקויה, והסבירה שהסיבה לתקלה היא באג שקשור למנגנון אחזור נתוני הגישה; בהליך תקין ססמאות מאוחסנות עם הצפנה שמערבלת אותן לסדרה אקראית של אותיות ומספרים, בגלל הבאג, ססמאות שנשלחו למשתמשים ששכחו אותן אוחסנו במקביל במאגר ללא הצפנה. כך גם מנהלים יכלו לקבל גישה לססמאות של משתמשים אחרים בקבוצות שלהם - אך לא באחרות.
הבאג של גוגל מזכיר באגים שהתגלו לאחרונה בפייסבוק וטוויטר, אך במקרה זה מדובר בליקוי שנמשך במשך שנים רבות, מה שאומר שלא מן הנמנע שכבר סייע לתוקפים בעבר - אם כי אין מידע ספציפי על כך.
גוגל פנתה ללקוחות שנחשפו לליקוי, וביקשה מהם להחליף את הסיסמה באופן מיידי. מי שלא יעשה כן יראה את הסיסמה שלו נדרשת לשינוי בין אם ירצה או לא. עם זאת, ההמלצה של גוגל היא להקשיח את הגישה לחשבונות בעזרת שימוש במנגנון אימות דו שלבי.