포스팅 내용

국내외 보안동향

G Suite 사용자 패스워드, 14년 이상 일반 텍스트 형태로 저장돼

G Suite users’ passwords stored in plain-text for more than 14 years


구글이 14년 동안 G Suite 사용자의 패스워드를 실수로 일반 텍스트 형태로 저장하고 있었던 것으로 나타났습니다. 


심지어 회사의 모든 직원들이 이 데이터에 접근이 가능했습니다.


<이미지 출처: https://securityaffairs.co/wordpress/85964/breaking-news/g-suite-passwords-plain-text.html>


구글에 따르면, 이 사고는 패스워드 복원 메커니즘에 존재하는 버그로 인해 발생했으며, 엔터프라이즈 고객만 영향을 받았습니다.


구글은 블로그를 통해 기업 G Suite 고객의 일부 패스워드가 암호화된 내부 시스템에 해싱되지 않은 상태로 저장되어 있었다고 밝혔습니다.


이는 G Suite 이슈로 엔터프라이즈 고객에게만 영향을 미치며, 무료로 이용 가능한 구글 계정은 영향을 받지 않습니다. 


또한 구글은 엔터프라이즈 고객이 G Suite 패스워드를 리셋할 수 있도록 엔터프라이즈 관리자와 협력 중이라고 밝혔습니다.


G Suite(구글 앱스)는 클라우드 컴퓨팅, 생산성 및 협업 툴을 포함하며, 많은 기업 고객들이 사용하고 있습니다.


현재 구글은 G Suite 관리자 권한을 제거하여 이 버그를 수정하였습니다.


이 기능은 G Suite 엔터프라이즈 관리자가 도메인 사용자의 기존 패스워드를 모르는 상태에서도 패스워드를 업로드하거나 수동으로 설정할 수 있도록 도와주는 패스워드 복원 서비스입니다.


기업 고객들은 이 기능을 신입사원 계정 설정 또는 계정 복구 시 패스워드를 설정하는데 유용하게 사용할 수 있었습니다.


하지만 이번에 발견된 버그는 이 패스워드 복원 메커니즘에 존재했습니다.


구글은 관리자가 패스워드를 재설정 할 경우, 관리자 콘솔에서 패스워드를 일반 텍스트 형태로 구글 서버에 저장한다는 사실을 인정했습니다.


구글의 조사한 결과, 노출된 G Suite 크리덴셜에 부적절한 접근 또는 악용한 증거는 찾지 못했다고 밝혔습니다.


구글은 2005년 해당 기능을 구현할 때 관리자 콘솔은 해싱되지 않은 패스워드의 복사본을 저장하는 에러를 발생시켰으며, 복사된 패스워드는 암호화된 인프라에 남아있었다고 전했습니다.


구글은 얼마나 많은 사용자가 영향을 받았는지는 밝히지 않았지만, 현재 G Suite가 보유한 5백만 기업 고객이 잠재적으로 이 위험에 노출된 것으로 간주해야 할 것입니다.


구글은 엔터프라이즈 사용자에게 해당 사고에 대해 공지해 패스워드를 재설정할 것을 요청했으며, 패스워드를 변경하지 않는 사용자의 경우 자동으로 패스워드를 리셋할 것이라 밝혔습니다. 




출처:

https://securityaffairs.co/wordpress/85964/breaking-news/g-suite-passwords-plain-text.html

https://techcrunch.com/2019/05/21/google-g-suite-passwords-plaintext/

  1. 안테나곰 2019.05.23 15:12 신고  수정/삭제  댓글쓰기

    보안에 더 신경썼어야 하는 기업 상대 유료 서비스인 Gsuite 의 일부 패스워드에 평문 저장이라니 아이러니 하네요..

티스토리 방명록 작성
name password homepage