أوضحت شركة جوجل أنها خزنت كلمات مرور عدد صغير من عملائها من المؤسسات ضمن أنظمتها، على شكل نص عادي، لأكثر من عشر سنوات.
وكشفت عملاقة البحث عن المشكلة، لكنها رفضت تحديد عدد العملاء الذين تأثروا، مما يوضح أن شركة فيسبوك ليست الشركة التقنية الكبيرة الوحيدة التي خزنت كلمات المرور، على شكل نص عادي.
واعترفت فيسبوك في شهر مارس أنها خزنت مئات الملايين من كلمات مرور مُستخدمي فيسبوك، وإنستاجرام، على شكل نص عادي، كما اعترفت كل من تويتر، و GitHub، أيضًا بحدوث ثغرات أمنية مماثلة في العام الماضي.
وقالت سوزان فراي Suzanne Frey، نائبة رئيس شركة جوجل للهندسة: لقد أبلغنا في وقت سابق مجموعة فرعية من عملاء G Suite بأن بعض كلمات المرور قد خُزِّنت في أنظمتنا الداخلية المشفرة كنص عادي.
وعادةً ما تُحفَظ كلمات المرور بطريقة تمنع قراءتها من قِبل البشر، ويمكن لمسؤولي G Suite تحميل، وتعيين، واستعادة، كلمات مرور مُستخدمي الشركة، مما يساعد في المواقف المتعلقة بالموظفين الجدد ضمن الشركة.
موضوعات ذات صلة بما تقرأ الآن:
لكن جوجل قالت: إنها اكتشفت في شهر أبريل أن الطريقة التي استخدمتها لتعيين كلمة المرور، واستردادها – التي وفرتها للمؤسسات في عام 2005 – كانت خاطئة، وتخزن بشكل غير صحيح نسخة من كلمة المرور، على شكل نص عادي.
وقالت سوزان: إن حسابات المستهلكين ضمن خدمة البريد الإلكتروني جيميل Gmail لم تتأثر بهذه المشكلة، وإن كلمات المرور هذه ظلت ضمن البنية التحتية لشركة جوجل المشفرة الآمنة، وإن جوجل أصلحت هذه المشكلة.
وأزالت الشركة هذه الميزة، موضحة أنه ليس هناك دليل على وصول غير صحيح إلى كلمات المرور المتأثرة، أو إساءة استخدامها.
وتمتلك جوجل أكثر من 5 ملايين عميل من الشركات يستخدمون منصة G Suite، التي تتضمن تطبيقات مثل جيميل، و Docs، و Hangouts، ونشأت المشكلة عندما أعطت المسؤولين عن الحسابات في الشركات القدرة على تعيين كلمات المرور يدويًا للموظفين الجدد.
وأوضحت جوجل اكتشافها مشكلة أمنية ثانية في وقت سابق من هذا الشهر، وذلك أثناء استكشاف أخطاء الاشتراكات الجديدة لعملاء G Suite، موضحة أنها خزنت منذ شهر يناير مجموعة فرعية من كلمات مرور G Suite غير المشفرة على أنظمتها الداخلية، لمدة تصل إلى أسبوعين.
وقالت الشركة: إن هذه الأنظمة لا يمكن الوصول إليها إلا من قبل عدد محدود من موظفي جوجل المعتمدين، وإنها أصلحت هذه المشكلة أيضًا، دون وجود أي دليل على وصول غير صحيح، أو سوء استخدام لكلمات المرور المتأثرة.
وأكد متحدث رسمي باسم الشركة أن جوجل أبلغت منظمي حماية البيانات بالمشكلة، مما يجعلها أحدث شركة تعترف بتخزين البيانات الحساسة على شكل نص عادي.