Парольные проблемы у Google
dl // 20.04.10 11:22
Гуглевские пароли оказались в последние дни в центре внимания.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2010/04/06.html]
Сначала посыпались сообщения о рассылке спама с гуглевских аккаунтов, сопровождающейся входами из разных экзотических стран. Сами пароли при этом не менялись, так что симптомы в принципе допускали обход парольной системы. Темы, посвященные этой проблеме, появлялись на гуглевском форуме в течение нескольких последних месяцев, гуглевские представители традиционно рассказывали о том, что им неизвестны какие-то уязвимости в gmail, способствущие этому.
Теперь масла в огонь подлила статья в The New York Times, в которой утверждается, что декабрьская атака на Google могла дать доступ атакующим к исходникам парольной системы, используемой Google, имеющей кодовое имя Gaia и официальное название Single Sign-On.
В самой по себе утечке исходников нет ничего фатального, принцип Кирхгофа никто не отменял. Но это в теории, на практике же доступ ко внутренностям системы в принципе мог дать возможность обнаружения уязвимостей, неизвестных разработчикам, а при счастливом стечении обстоятельств и возможность внедрения в нее всевозможных закладок. Даже если с тех пор все ошибки были исправлены, а закладки вычищены, за время их использования злоумышленники вполне могли накопить приличные парольные базы, откладывая их использование до подходящего времени.
Случилось ли что-то из описанного, пока неизвестно, но гуглевским инженерам сейчас не позавидуешь. Даже если выяснится, что защита тверда как скала, а со взломами аккаунтов постарались сами пострадавшие, схватившие пачку очередных троянов, мем "китайцы взломали гугль" имеет все шансы утвердиться в сердцах рядовых пользователей.
