Google lưu trữ mật khẩu người dùng G-Suite trong suốt 14 năm, không mã hóa

Sau Facebook và Twitter, Google trở thành gã khổng lồ công nghệ mới nhất ‘vô tình’ lưu trữ mật khẩu của người dùng G-Suite dưới dạng văn bản gốc trên máy chủ của mình. Điều đó có nghĩa là bất kỳ nhân viên Google nào có quyền truy cập vào máy chủ đều có thể đọc được những mật khẩu này.



Google lưu trữ mật khẩu của người dùng G-Suite



Mới đây, Google đã tiết lộ rằng nền tảng G-Suite đã lưu nhầm mật khẩu dưới dạng văn bản gốc của một số doanh nghiệp trên các máy chủ nội bộ trong suốt 14 năm do một lỗ hổng tồn tại trong tính năng khôi phục mật khẩu.



G-Suite (trước đây gọi là Google Apps) là tập hợp các công cụ liên kết, năng suất và điện toán đám mây được thiết kế cho các doanh nghiệp với dịch vụ lưu trữ email. Về cơ bản, G-Suite là phiên bản kinh doanh của các ứng dụng mà Google cung cấp.



Lỗ hổng nói trên hiện đã được vá và nằm trong cơ chế khôi phục mật khẩu của người dùng G-Suite. Cơ chế này cho phép quản trị viên của doanh nghiệp tải lên hoặc đặt mật khẩu thủ công cho bất kỳ người dùng nào trong domain của họ mà không cần biết mật khẩu trước đó, nhằm trợ giúp các nhân viên mới dễ dàng tiếp cận hệ thống cũng như khôi phục các tài khoản sẵn có.




Các mật khẩu G-Suite đã được lưu trong 14 năm



Google tiết lộ rằng nếu quản trị viên đã thiết lập lại
mật khẩu, bảng điều khiển dành cho quản trị viên sẽ lưu một bản sao của các
mật khẩu đó bằng văn bản thuần thay vì mã hóa chúng.



Google thừa nhận lỗi này đã “bắt đầy xảy ra từ năm 2005. Khi đó, bảng điều khiển quản trị viên đã lưu trữ một bản sao của các mật khẩu chưa được mã hóa.”



Tuy nhiên, Google cũng cho biết mật khẩu văn bản gốc
được lưu trữ không phải trên Internet mà trên các máy chủ được mã hóa bảo mật
của riêng công ty. Đồng thời Google khẳng định cũng chưa tìm thấy bất kì bằng
chứng nào về tình trạng mật khẩu của khách hàng bị truy cập không đúng cách.



Google cũng nêu rõ lỗi này chỉ ảnh hưởng tới khách hàng dùng ứng dụng G-Suite dành cho doanh nghiệp và không có bất kì tài khoản Google phiên bản miễn phí nào (như Gmail) bị ảnh hưởng.



Không rõ số lượng người dùng bị ảnh hưởng



Google không tiết lộ có bao nhiêu người dùng có thể bị ảnh hưởng bởi lỗi này mà chỉ đề cập vấn đề ảnh hưởng đến một tập hợp khách hàng doanh nghiệp G-Suite. Tuy nhiên, với hơn 5 triệu khách hàng doanh nghiệp dùng G-Suite, lỗi này có thể ảnh hưởng đến một số lượng lớn người dùng – có lẽ là bất kỳ người dùng nào đã sử dụng G-Suite trong suốt 14 năm qua.



Để giải quyết vấn đề này, Google đã loại bỏ tính năng cho phép tải lên và đặt mật khẩu thủ công cho các tài khoản trong domain của các quản trị viên G-Suite. Ngoài ra công ty cũng gửi cho các quản trị viên danh sách người dùng bị ảnh hưởng để đảm bảo người dùng thay đổi mật khẩu kịp thời.



Bên cạnh đó, Google cho biết công ty sẽ tiến hành hỗ trợ đặt lại mật khẩu cho những người dùng chưa thực hiện thủ tục này.



Các ông lớn công nghệ liên tục mắc lỗi bảo mật



Google là công ty công nghệ gần đây nhất vô tình lưu trữ mật khẩu chưa được mã hóa trên các máy chủ nội bộ của mình. Vừa qua, Facebook cũng đã gây xôn xao dư luận về việc lưu trữ mật khẩu dưới dạng văn bản gốc của hàng trăm triệu người dùng của cả Instagram và Facebook trên các máy chủ nội bộ của họ.



Gần một năm trước, Twitter cũng đã báo cáo một lỗi bảo mật tương tự khi vô tình làm lộ mật khẩu của 330 triệu người dùng dưới dạng văn bản có thể đọc được trên hệ thống máy tính nội bộ của mình.



THN
The post Google lưu trữ mật khẩu người dùng G-Suite trong suốt 14 năm, không mã hóa appeared first on SecurityDaily .