أعلنت شركة جوجل أنها قامت بتخزين كلمات مرور المستخدمين عن طريق الخطأ دون تشفير في نص عادي منذ عام 2005، في برنامج «G Suite» الخاص بأعمال الشركات؛ وهو الإصدار الخاص بالشركات من تطبيقات Gmail وتطبيقات جوجل الأخرى.
حيث تذكر الشركة أن تأثير هذا الخطأ يقع على نسبة صغيرة من مستخدمي «G Suite» مثل بعض حسابات الأعمال والشركات، لكنه لم يؤثر على حسابات المستخدمين العاديين.
عادةً ما تقوم الشركات بتخزين كلمات المرور على خوادمها في وضع تشفير عشوائي يُعرف باسم التجزئة (hash)، ولكن جوجل عثرت على ثغرة في خاصية استرداد كلمة المرور في برنامج «G Suite» والخاصة بالمشرف على البرنامج، تسببت هذه الثغرة في تخزين كلمات المرور بدون تشفير -كنص عادي- في وحدة تحكم المشرف.
قامت جوجل بإيقاف هذه الخاصية التي احتوت على الثغرة، ولكن تكمن المشكلة في أن كلمات مرور المستخدمين من الممكن أن تكون قد وقعت في متناول موظفي جوجل المصرح لهم بالعمل على البرنامج. كما كان بإمكان مشرف أي شركة تعمل بالبرنامج الوصول إلى كلمات المرور الخاصة بالموظفين داخل شركته.
توجد هذه الثغرة في جوجل منذ عام 2005، وعلى الرغم من أن الشركة تؤكد أنها لا تملك أي دليل على اختراق كلمات المرور، أو إساءة استخدامها بأي شكل، فإن 14 عاماً تعد فترة زمنية طويلة لتبقى مثل هذه البيانات الحساسة دون أن يلاحظها أحد.
وتقوم جوجل حالياً بإخطار مسئولو الشركات الذين يعملون ببرنامج «G Suite» لتغيير كلمات المرور الخاصة بهم، وستقوم تلقائياً بإعادة تعيين أي كلمات مرور تأثرت بهذه الثغرة، ولم يتم تغييرها بالفعل.
ونظراً لأن جوجل ستقوم بإعادة تعيين جميع كلمات المرور التي تعرضت لهذه الثغرة، فيجب على مستخدمي «G Suite» التركيز على إضافة مصادقة ثنائية لحسابهم، مثل ربطه برقم الهاتف المحمول لزيادة الأمان.