Google lưu mật khẩu người dùng G Suite dưới dạng văn bản thuần suốt 14 năm qua

Tuy nhiên, ít ra các mật khẩu người dùng sử dụng dịch vụ G Suite vẫn được mã hoá trước khi lưu trữ trên đĩa cứng máy chủ, chứ không hẳn là bị lưu trữ dưới dạng văn bản thuần mà ai cũng có thể đọc được.

G Suite là gì? Bạn có thể làm gì với gói dịch vụ doanh nghiệp này của Google?

Hôm qua, Google đã tiết lộ trong một bài đăng trên blog của công ty rằng hãng mới phát hiện ra một lỗi trong bộ công cụ G Suite cũ, dẫn đến hậu quả là mật khẩu người dùng bị lưu trữ trên các máy chủ của công ty dưới dạng thức không được "băm" (hash) – nhưng có mã hoá – trong gần 14 năm vừa qua, bắt đầu từ năm 2005 đến năm 2019.

Công ty cho biết chỉ có người dùng khối doanh nghiệp và tổ chức sử dụng dịch vụ G Suite mới bị ảnh hưởng. Người dùng tài khoản Gmail cá nhân thông thường không bị tác động bởi lỗi này.

Đa số người dùng G Suite là các công ty đã đăng ký sử dụng phiên bản dành cho doanh nghiệp của các dịch vụ Google phổ biến như Gmail, Google Docs, Google Sites, Google Drive cùng nhiều dịch vụ khác.

Lỗi nằm trong bộ công cụ G Suite cũ

Google cho biết lỗi chính gây ra lỗ hổng bảo mật này đến từ một bộ công cụ cũ mà công ty xây dựng từ những năm 2000.

"Công cụ này (tồn tại bên trong bảng điều khiển dành cho quản trị viên) cho phép người quản trị hệ thống có thể đặt lại mật khẩu của những người dùng thuộc hệ thống công ty của mình," Google cho biết.

"Mục đích của bộ công cụ này là nhằm giúp [người quản trị hệ thống G Suite] hỗ trợ các người dùng mới, chẳng hạn như một nhân viên mới có thể nhận được thông tin tài khoản công ty của họ trong ngày đầu tiên đi làm, và để phục hồi tài khoản trong trường hợp cần thiết [chẳng hạn như người dùng quên/ bị đánh cắp mật khẩu]."

Google cho biết hãng đã mắc sai sót trong việc triển khai tính năng đặt lại mật khẩu của bộ công cụ này từ hồi năm 2005.

Mật khẩu được thiết lập qua công cụ này được lưu trữ lên đĩa cứng mà không thông qua quy trình thuật toán "băm" mật khẩu tiêu chuẩn của Google.

Tuy nhiên, sau đó những mật khẩu này vẫn được mã hoá trước khi lưu trữ lên đĩa cứng, do đó các nhân viên của Google hoặc những kẻ "đột nhập" vào hệ thống không thể đọc được các mật khẩu này dưới dạng văn bản thuần tuý.

Công ty cho biết họ đã phát hiện ra lỗi này trong năm nay, và đã ngừng sử dụng bộ công cụ trên, cũng như khắc phục lỗi.

"Để rõ ràng, chúng tôi thông báo các mật khẩu này vẫn được lưu trữ an toàn trong cơ sở hạ tầng được mã hoá cẩn thận của chúng tôi. Lỗi này đã được sửa, và chúng tôi chưa phát hiện bằng chứng nào cho thấy những mật khẩu bị ảnh hưởng của người dùng đã bị truy cập trái phép hay sử dụng sai mục đích," Google khẳng định.

Vụ việc thứ hai tương tự cũng đã được phát

Bên cạnh lỗ hổng trên, Google cũng tiết lộ thông tin về một vụ việc thứ hai trong đó nền tảng G Suite đã lưu trữ mật khẩu người dùng mà không thông qua thuật toán băm tiêu chuẩn của công ty.

Lỗi thứ hai này được phát hiện khi các nhân viên Google "kiểm tra lại quy trình đăng ký tài khoản người dùng G Suite mới."

Google cho biết rằng bắt đầu từ tháng 1 năm 2019, G Suite đã lưu trữ các mật khẩu được thiết lập trong quá trình đăng ký tài khoản người dùng mới dưới dạng không "băm" (hash). Tuy nhiên, cũng như trường hợp đầu tiên, các mật khẩu này sau đó đã được mã hoá trước khi lưu trữ trên đĩa cứng.

Tuy nhiên, những mật khẩu không được băm này chỉ được lưu trữ trên đĩa cứng trong vòng 14 ngày, do đó đã giúp giảm thiểu những thiệt hại có thể xảy ra do lỗ hổng trên. Google cũng cho biết hãng chưa phát hiện bất kỳ dấu hiệu nào cho thấy những mật khẩu bị ảnh hưởng bởi lỗi thứ hai này đã bị lạm dụng hoặc sử dụng sai mục đích.

Toàn bộ các quản trị viên hệ thống G Suite đã được thông báo về lỗ hổng bảo mật này

Google cho biết công ty đã tiến hành gửi thông báo cho các người quản trị hệ thống G Suite và đề nghị họ yêu cầu người dùng thiết lập lại những mật khẩu trước đây được đặt qua bộ công cụ G Suite cũ.

"Để đảm bảo an toàn, chúng tôi sẽ tự động đặt lại mật khẩu của toàn bộ các tài khoản mà trước đó người dùng chưa đổi mật khẩu lần nào," Google cho biết. Dưới đây là ảnh chụp màn hình các thư điện tử được Google gửi đến cho các quản trị viên hệ thống:

Trong điều kiện thông thường, lỗ hổng này không phải là mối đe doạ an ninh lớn đối với những người dùng bị ảnh hưởng, bởi nếu muốn truy cập được vào các mật khẩu này, kẻ tấn công sẽ phải xâm nhập và giành quyền truy cập vào hạ tầng của Google, tìm đến đúng nơi lưu trữ các mật khẩu bị ảnh hưởng trong các trung tâm dữ liệu khổng lồ của công ty, và tìm ra khoá giải mã để truy cập vào được những mật khẩu đã bị mã hoá.

Vụ việc xảy ra với dịch vụ G Suite của Google không nghiêm trọng bằng vụ việc đầy tai tiếng xảy ra với Facebook vừa qua. Hồi tháng 3 năm nay, Facebook đã thừa nhận lưu trữ hàng trăm triệu mật khẩu tài khoản Facebook và hàng triệu mật khẩu tài khoản Instagram của người dùng dưới dạng văn bản thuần mà bất cứ nhân viên nào trong công ty cũng có thể tìm và xem được.

Quang Huy