جوجل تعتذر بعد اختفاء كلمات المرور عن 15 مليون مستخدم ويندوز

قالت شركة جوجل إنها تعتذر بعد وجود خطأ منع عددًا كبيرًا من مستخدمي ويندوز من العثور على كلمات المرور الخاصة بهم أو حفظها. كانت المشكلة، التي أشارت جوجل إلى أنها بدأت في 24 يوليو واستمرت لمدة 18 ساعة تقريبًا قبل إصلاحها في 25 يوليو، بسبب "تغيير في سلوك المنتج بدون حماية الميزات المناسبة"، وهو عذر قد يبدو مألوفًا لأي شخص وقع في تعطل CrowdStrike هذا الشهر.

أثرت مشكلة اختفاء كلمة المرور على مستخدمي متصفح الويب Chrome من جميع أنحاء العالم، مما جعلهم غير قادرين على العثور على أي كلمات مرور محفوظة بالفعل باستخدام مدير كلمات المرور Chrome. كما أصبحت كلمات المرور المحفوظة حديثًا غير مرئية للمستخدمين المتأثرين. قالت شركة جوجل، التي قامت بإصلاح المشكلة الآن، إن المشكلة كانت مقتصرة على إصدار M127 من متصفح Chrome على منصة Windows.

كم عدد مستخدمي Google الذين تأثروا بقانون اختفاء كلمة المرور في Chrome؟
من الصعب تحديد العدد الدقيق للمستخدمين الذين تأثروا بقانون اختفاء مدير كلمات المرور في Google. ومع ذلك، بالعمل على أساس وجود أكثر من 3 مليارات مستخدم لمتصفح الويب Chrome، مع اعتبار مستخدمي Windows الغالبية العظمى منهم، فمن الممكن التوصل إلى رقم تقديري. قالت جوجل إن 25٪ من قاعدة المستخدمين شهدوا طرح تغيير التكوين، والذي يبلغ، وفقًا لحساباتي، حوالي 750 مليونًا. ومن بين هؤلاء، تأثر حوالي 2٪، وفقًا لتقديرات Google، بمشكلة مدير كلمات المرور. وهذا يعني أن حوالي 15 مليون مستخدم شهدوا اختفاء كلمات المرور الخاصة بهم في الهواء.

تم الآن إصلاح تعطل مدير كلمات المرور في Chrome بالكامل
قالت Google إنه تم تقديم حل مؤقت في ذلك الوقت، والذي تضمن عملية غير ودية بشكل خاص للمستخدم لتشغيل متصفح Chrome مع علامة سطر الأوامر " —enable-features=SkipUndecryptablePasswords". لحسن الحظ، يتطلب الإصلاح الكامل الذي تم طرحه الآن من المستخدمين إعادة تشغيل متصفح Chrome الخاص بهم حتى يسري مفعوله. وشكرًا للمستخدمين على صبرهم، قالت Google "نعتذر عن الإزعاج الذي قد يكون سببه هذا التعطل/الانقطاع في الخدمة". قالت جوجل إن أي مستخدم لمتصفح Chrome واجه تأثيرًا يتجاوز ما تم شرحه يجب عليه الاتصال بدعم Google Workspace.

ربما لا تكون فكرة الاحتفاظ بكل كلمات المرور في سلة متصفح واحدة فكرة جيدة
تم إصدار إصدار 127 من Google Chrome لإصلاح إجمالي 24 مشكلة أمنية، لكن مشكلة مدير كلمات المرور لم تكن واحدة منها. وكما قلت كثيرًا وسأقول مرة أخرى، فإن الاحتفاظ بتطبيق مخصص لإدارة كلمات المرور هو الأكثر منطقية من منظور أمني صارم. على الرغم من أن الحل القائم على المتصفح يخدم عنصر سهولة الاستخدام، فإن الاحتفاظ بكل البيض في سلة واحدة عندما تسوء الأمور، كما حدث هنا، وإن كان لفترة قصيرة نسبيًا، ليس فكرة جيدة أبدًا.

كلمات المرور ليست مقياس الأمان الوحيد من Google الذي اختفى مؤخرًا
وفقًا لمراسل الأمن السيبراني الاستقصائي الشهير برايان لم تكن كلمات المرور هي الشيء الوحيد الذي شهده مستخدمو Google مؤخرًا: فقد اختفى أيضًا التحقق من البريد الإلكتروني عند إنشاء حساب جديد على Google Workspace لبعض المستخدمين. قال كريبس إن مشكلة المصادقة، التي تم إصلاحها الآن بواسطة Google أيضًا، مكنت الجهات الفاعلة السيئة من "الالتفاف على التحقق من البريد الإلكتروني المطلوب لإنشاء حساب Google Workspace"، مما سمح لهم "بانتحال شخصية صاحب المجال في خدمات الطرف الثالث". يعني هذا الانتحال أن مثل هذا الشخص كان قادرًا بعد ذلك على تسجيل الدخول إلى خدمات الطرف الثالث، بما في ذلك حساب Dropbox، وفقًا للشخص الذي اتصل بـ Krebs في البداية.

يبدو أن المشكلة كانت مرتبطة بالإصدارات التجريبية المجانية التي تقدمها Google Workspace، والتي تسمح بالوصول إلى خدمات مثل Google Docs، على سبيل المثال. ومع ذلك، لا يمكن الوصول إلى Gmail إلا للمستخدمين الحاليين الذين يمكنهم التحقق من سيطرتهم على اسم المجال المرتبط. أو على الأقل، هذا ما كان يجب أن يحدث. بدلاً من ذلك، يبدو أن المهاجم يمكنه تجاوز عملية التحقق بالكامل بشكل فعال. صرحت آنو يامونان، مديرة إساءة الاستخدام وحماية السلامة في Google Workspace، لـ Krebs أنه تم إنشاء بضعة آلاف من هذه الحسابات غير الموثقة للنطاق قبل تطبيق الإصلاح. يجب أن يقال إن الإصلاح تم إجراؤه في غضون 72 ساعة من الإبلاغ عن الثغرة الأمنية. ومن المفهوم أنه لم يتم ربط أي من النطاقات سابقًا بحسابات Workspace أو الخدمة"كان التكتيك هنا هو إنشاء طلب مصمم خصيصًا من قبل جهة سيئة للالتفاف على التحقق من البريد الإلكتروني أثناء عملية التسجيل"، كما قال يامونان.