G Suite users’ passwords stored in plain-text for more than 14 years
구글이 14년 동안 G Suite 사용자의 패스워드를 실수로 일반 텍스트 형태로 저장하고 있었던 것으로 나타났습니다.
심지어 회사의 모든 직원들이 이 데이터에 접근이 가능했습니다.
<이미지 출처: https://securityaffairs.co/wordpress/85964/breaking-news/g-suite-passwords-plain-text.html>
구글에 따르면, 이 사고는 패스워드 복원 메커니즘에 존재하는 버그로 인해 발생했으며, 엔터프라이즈 고객만 영향을 받았습니다.
구글은 블로그를 통해 기업 G Suite 고객의 일부 패스워드가 암호화된 내부 시스템에 해싱되지 않은 상태로 저장되어 있었다고 밝혔습니다.
이는 G Suite 이슈로 엔터프라이즈 고객에게만 영향을 미치며, 무료로 이용 가능한 구글 계정은 영향을 받지 않습니다.
또한 구글은 엔터프라이즈 고객이 G Suite 패스워드를 리셋할 수 있도록 엔터프라이즈 관리자와 협력 중이라고 밝혔습니다.
G Suite(구글 앱스)는 클라우드 컴퓨팅, 생산성 및 협업 툴을 포함하며, 많은 기업 고객들이 사용하고 있습니다.
현재 구글은 G Suite 관리자 권한을 제거하여 이 버그를 수정하였습니다.
이 기능은 G Suite 엔터프라이즈 관리자가 도메인 사용자의 기존 패스워드를 모르는 상태에서도 패스워드를 업로드하거나 수동으로 설정할 수 있도록 도와주는 패스워드 복원 서비스입니다.
기업 고객들은 이 기능을 신입사원 계정 설정 또는 계정 복구 시 패스워드를 설정하는데 유용하게 사용할 수 있었습니다.
하지만 이번에 발견된 버그는 이 패스워드 복원 메커니즘에 존재했습니다.
구글은 관리자가 패스워드를 재설정 할 경우, 관리자 콘솔에서 패스워드를 일반 텍스트 형태로 구글 서버에 저장한다는 사실을 인정했습니다.
구글의 조사한 결과, 노출된 G Suite 크리덴셜에 부적절한 접근 또는 악용한 증거는 찾지 못했다고 밝혔습니다.
구글은 2005년 해당 기능을 구현할 때 관리자 콘솔은 해싱되지 않은 패스워드의 복사본을 저장하는 에러를 발생시켰으며, 복사된 패스워드는 암호화된 인프라에 남아있었다고 전했습니다.
구글은 얼마나 많은 사용자가 영향을 받았는지는 밝히지 않았지만, 현재 G Suite가 보유한 5백만 기업 고객이 잠재적으로 이 위험에 노출된 것으로 간주해야 할 것입니다.
구글은 엔터프라이즈 사용자에게 해당 사고에 대해 공지해 패스워드를 재설정할 것을 요청했으며, 패스워드를 변경하지 않는 사용자의 경우 자동으로 패스워드를 리셋할 것이라 밝혔습니다.
출처:
https://securityaffairs.co/wordpress/85964/breaking-news/g-suite-passwords-plain-text.html
https://techcrunch.com/2019/05/21/google-g-suite-passwords-plaintext/
CVE-2019-0708 RDP 취약점 이슈 악용 백도어 발견 (0) | 2019.05.24 |
---|---|
한국 사이트의 액티브X에서 치명적 취약점 발견돼 (0) | 2019.05.24 |
5월 윈도우 업데이트, 소포스 제품 사용자 PC 멈춤 유발 (0) | 2019.05.22 |
구글, 사용자의 지메일 계정을 통해 구매 내역 추적해 (0) | 2019.05.21 |
시스코, 네트워크 관리 툴에 존재하는 치명적 취약점 수정 (0) | 2019.05.20 |
댓글 영역