Google vừa thông báo một lỗi bảo mật đã xuất hiện từ năm 2005, ảnh hưởng đến nhiều người dùng G Suite đang sử dụng mật khẩu thuần văn bản.
Theo báo cáo, chủ tài khoản G Suite đang sử dụng mật khẩu thuần văn bản có nguy cơ bị rò rỉ dữ liệu. Lỗi bảo mật đã xuất hiện từ năm 2005, một năm trước khi “Google For Work” trở thành sản phẩm chính thức. Dù công ty đã nhấn mạnh rằng “chưa có bằng chứng cho thấy mật khẩu gốc bị lạm dụng” thì 14 năm là một thời gian quá dài để dữ liệu bị treo mà không được lưu ý đến.
Google vừa thông báo sự cố đến quản trị viên G Suite, khuyến nghị khách hàng thay đổi tất cả các mật khẩu bị ảnh hưởng và thêm xác thực hai yếu tố vào tài khoản.
Khi xử lý các lỗi mật khẩu văn bản, Twitter và Facebook đều kết luận không cần phải tự động đặt lại mật khẩu người dùng. Tuy nhiên Google lại tỏ ra thận trọng hơn, hãng đã báo cáo sẽ tự động đặt lại bất kỳ mật khẩu nào bị ảnh hưởng mà chưa thay đổi.
“Các hệ thống xác thực của Google hoạt động với nhiều lớp bảo vệ ngoài mật khẩu. Chúng tôi còn triển khai nhiều hệ thống tự động chặn các nỗ lực đăng nhập trái phép ngay cả khi kẻ tấn công biết mật khẩu. Google rất coi trọng vấn đề bảo mật của khách hàng doanh nghiệp và luôn làm tốt việc thúc đẩy các hoạt động bảo mật tài khoản. Chúng tôi xin lỗi người dùng và hứa làm tốt hơn trong thời gian tới”, đại diện Google cho biết.
G Suite là một bộ công cụ được phát triển cho doanh nghiệp, xây dựng trên nền tảng đám mây của Google gồm các ứng dụng Gmail, chat, video call, chỉa sẻ dữ liệu… hỗ trợ các công ty làm việc hiệu quả hơn.
Google khẳng định lỗi chỉ ảnh hưởng đến một tỷ lệ nhỏ khách hàng doanh nghiệp và không liên quan đến những tài khoản cá nhân. Công ty thường lưu trữ mật khẩu trên máy chủ và được mã hóa bằng mật mã (được gọi là hàm băm – hash), nhưng một lỗi trong tính năng khôi phục mật khẩu dành cho quản trị viên đã khiến password bị rò rỉ và được lưu trữ dưới dạng văn bản trong bảng điều khiển, khiến những nhân viên được Google ủy quyền và kẻ xấu có thể dễ dàng truy cập và đánh cắp. Ngoài ra quản trị viên của các doanh nghiệp, tổ chức cũng có thể truy cập vào mật khẩu của những tài khoản khác trong nhóm.
Google đã giải thích rằng các mật khẩu được lưu dưới dạng văn bản trong hệ thống máy chủ của công ty và rất khó bị lộ bên ngoài. Tuy nhiên, dù chỉ bị rò rỉ nội bộ thì sự cố này vẫn tạo ra nhiều mối lo ngại về vấn đề riêng tư và bảo mật thông tin người dùng. Google đã vô hiệu hóa các tính năng lỗi ngay khi phát hiện.
Theo: The Verge