Η Google απολογήθηκε για ένα σφάλμα που εμπόδισε σημαντικό αριθμό χρηστών των Windows να βρουν ή να αποθηκεύσουν τους κωδικούς πρόσβασής τους που είχαν ήδη αποθηκεύσει στον Chrome.
Το πρόβλημα, το οποίο η Google σημείωσε ότι ξεκίνησε στις 24 Ιουλίου και συνεχίστηκε για σχεδόν 18 ώρες πριν διορθωθεί στις 25 Ιουλίου, οφειλόταν σε «μια αλλαγή στη συμπεριφορά του προϊόντος χωρίς την κατάλληλη φύλαξη του χαρακτηριστικού» μια δικαιολογία που μπορεί να ακούγεται οικεία σε όσους βρέθηκαν αντιμέτωποι με την αναστάτωση της CrowdStrike αυτόν τον μήνα.
Το πρόβλημα της εξαφάνισης κωδικών πρόσβασης επηρέασε χρήστες του προγράμματος περιήγησης ιστού Chrome από όλο τον κόσμο. Αυτό είχε ως αποτέλεσμα να μην μπορούν να βρουν τους κωδικούς πρόσβασης που είχαν ήδη αποθηκευτεί με τη χρήση του διαχειριστή κωδικών πρόσβασης του Chrome. Οι πρόσφατα αποθηκευμένοι κωδικοί πρόσβασης έγιναν επίσης αόρατοι για τους επηρεαζόμενους χρήστες.
Η Google, η οποία έχει πλέον διορθώσει το πρόβλημα, δήλωσε ότι αυτό περιοριζόταν στην έκδοση M127 του Chrome Browser στην πλατφόρμα των Windows.
Πόσοι χρήστες της Google επηρεάστηκαν από την εξαφάνιση κωδικών πρόσβασης του Chrome;
Ο ακριβής αριθμός των χρηστών που επλήγησαν από το πρόβλημα της εξαφάνισης του διαχειριστή κωδικών πρόσβασης της Google είναι δύσκολο να προσδιοριστεί. Ωστόσο, με βάση το γεγονός ότι υπάρχουν περισσότεροι από 3 δισεκατομμύρια χρήστες του προγράμματος περιήγησης ιστού Chrome, με τους χρήστες των Windows να αποτελούν τη συντριπτική πλειονότητα αυτών, είναι δυνατόν να υπολογίσουμε έναν εκτιμώμενο αριθμό.
Η Google δήλωσε ότι το 25% της βάσης χρηστών είδε την αλλαγή διαμόρφωσης να εφαρμόζεται. Σύμφωνα με υπολογισμούς διεθνών ΜΜΕ, αυτό αφορούσε δηλαδή περίπου 750 εκατομμύρια χρήστες. Από αυτούς, περίπου το 2%, σύμφωνα με την εκτίμηση της Google, επλήγησαν από το πρόβλημα του διαχειριστή κωδικών πρόσβασης. Αυτό σημαίνει ότι περίπου 15 εκατομμύρια χρήστες είδαν τους κωδικούς τους να γίνονται… καπνός.
Η διακοπή της διαχείρισης κωδικών πρόσβασης του Chrome έχει διορθωθεί πλήρως
Η Google ανέφερε ότι την ημέρα που παρουσιάστηκε το πρόβλημα παρασχέθηκε μια προσωρινή λύση, η οποία περιλάμβανε την ιδιαίτερα δυσάρεστη για τον χρήστη διαδικασία της εκκίνησης του προγράμματος περιήγησης Chrome με μια σημαία γραμμής εντολών “-enable-features=SkipUndecryptablePasswords”.
Ευτυχώς, η πλήρης διόρθωση που έχει πλέον κυκλοφορήσει απαιτεί απλώς από τους χρήστες να επανεκκινήσουν το πρόγραμμα περιήγησης Chrome για να τεθεί σε ισχύ.
Η Google ευχαρίστησε τους χρήστες για την υπομονή τους και δήλωσε: «Ζητούμε συγγνώμη για την ταλαιπωρία που μπορεί να προκάλεσε αυτή η αναστάτωση/διακοπή της υπηρεσίας». Όσοι χρήστες του Chrome αντιμετώπισαν επιπτώσεις πέραν αυτών που περιγράφηκαν παραπάνω, θα πρέπει, σύμφωνα με την Google, να επικοινωνήσουν με την υποστήριξη του Google Workspace.
Δεν είναι καλή ιδέα να κρατάτε όλους τους κωδικούς σε ένα πρόγραμμα περιήγησης
Η έκδοση 127 του Google Chrome κυκλοφόρησε για να διορθώσει συνολικά 24 προβλήματα ασφαλείας, αλλά το θέμα της διαχείρισης κωδικών πρόσβασης δεν ήταν ένα από αυτά. Η διατήρηση μιας αποκλειστικής εφαρμογής διαχείρισης κωδικών πρόσβασης έχει το μεγαλύτερο νόημα από την άποψη της αυστηρής ασφάλειας.
Παρόλο που μια λύση που βασίζεται στο πρόγραμμα περιήγησης εξυπηρετεί το στοιχείο της ευκολίας της χρήσης, το να έχετε όλους τους κωδικούς πρόσβασης σε ένα πρόγραμμα περιήγησης δεν είναι καλή ιδέα, όπως φάνηκε και με το πρόσφατο πρόβλημα του Chrome.
Οι κωδικοί πρόσβασης δεν είναι το μόνο μέτρο ασφαλείας της Google που χάθηκε πρόσφατα
Σύμφωνα με τον διάσημο ερευνητικό δημοσιογράφο κυβερνοασφάλειας Brian Krebs, οι κωδικοί πρόσβασης δεν είναι το μόνο πράγμα που οι χρήστες της Google είδαν να εξαφανίζεται πρόσφατα: η επαλήθευση ηλεκτρονικού ταχυδρομείου κατά τη δημιουργία ενός νέου λογαριασμού Google Workspace επίσης χάθηκε για ορισμένους χρήστες.
Το πρόβλημα ελέγχου ταυτότητας, που επίσης διορθώθηκε τώρα από την Google, επέτρεψε σε κακόβουλα τρίτα πρόσωπα «να παρακάμψουν την επαλήθευση ηλεκτρονικού ταχυδρομείου που απαιτείται για τη δημιουργία ενός λογαριασμού Google Workspace» δήλωσε ο Krebs.
Αυτό το γεγονός τους επέτρεψε να «υποδυθούν έναν κάτοχο domain σε υπηρεσίες τρίτων». Αυτή η πλαστοπροσωπία σήμαινε ότι ένα τέτοιο άτομο ήταν στη συνέχεια σε θέση να συνδεθεί σε υπηρεσίες τρίτων, συμπεριλαμβανομένου ενός λογαριασμού Dropbox, σύμφωνα με το άτομο που επικοινώνησε αρχικά με τον Krebs.
Το ζήτημα φαίνεται να συνδέεται με τις δωρεάν δοκιμές που προσφέρει το Google Workspace, οι οποίες επιτρέπουν την πρόσβαση σε υπηρεσίες όπως το Google Docs, για παράδειγμα.
Ωστόσο το Gmail είναι προσβάσιμο μόνο σε υφιστάμενους χρήστες που μπορούν να επικυρώσουν τον έλεγχό τους επί του σχετικού ονόματος τομέα. Ή, τουλάχιστον, αυτό θα έπρεπε να συμβαίνει.
Αντίθετα, όπως φαίνεται, ένας εισβολέας θα μπορούσε ουσιαστικά να παρακάμψει εντελώς τη διαδικασία επικύρωσης. Ο Anu Yamunan, διευθυντής για την ασφάλεια στο Google Workspace, δήλωσε στον Krebs ότι μερικές χιλιάδες τέτοιοι λογαριασμοί χωρίς επαλήθευση domain είχαν δημιουργηθεί πριν εφαρμοστεί η διόρθωση.
Πρέπει να πούμε ότι η διόρθωση έγινε μέσα σε 72 ώρες από την αναφορά της αδυναμίας. Εξυπακούεται ότι κανένας από τους τομείς δεν είχε προηγουμένως συσχετιστεί με λογαριασμούς ή υπηρεσίες Workspace. «Η τακτική εδώ ήταν η δημιουργία ενός ειδικά κατασκευασμένου αιτήματος από έναν κακόβουλο παράγοντα για να παρακάμψει την επαλήθευση email κατά τη διαδικασία εγγραφής», δήλωσε ο Yamunan.
