【有驚無險】Google Chrome更新掀恐慌 過千萬用家儲存密碼無影無蹤
早前 Google 為 Chrome 瀏覽器推出更新,原本打算修復 24 個安全問題,但更新推出後卻引起 Windows 用家恐慌,因為有用家發現竟無法讀取儲存於瀏覽器內的帳戶登入密碼,試想像現時儲存在密碼管理器內的密碼至少有數十個,如果用家真的為每個帳戶設定不同密碼,相信要重設都要花費不少時間。
Google 事後指出當時約有 25% 用家進行了更新,而當中有 2% 受到影響,有傳媒就估計約涉及過千萬用家,幸好問題現在已解決,如發現儲存密碼不翼而飛,只要重啟瀏覽器就可解決問題。
相信現時大家為了使用各種網上服務,例如近期非常熱門的 AI 應用,都已登記了很多網上帳戶,而為了減少其中一個服務供應商因洩露用家資訊,牽連其他帳戶失守的風險,不少用家都會為帳戶設定不同密碼。而為了方便用家登入帳戶,瀏覽器供應商都會提供密碼管理功能,通過自動填寫儲存密碼快速登入帳戶。雖然此舉同樣方便黑客一次過盜取儲存的登入資料,但在便利與安全之間,絕大部分用家都會選擇這項功能。
不過,上星期就有多名 Chrome 用家在 Reddit 哭訴,儲存在 Chrome 瀏覽器的密碼全部失去蹤影,在登入帳戶時亦不見自動填充功能有反應,即使有用家嘗試將備份密碼重新匯入,也會像投入黑洞中立即再次消失,其後有用家發現在將 Chrome 升級至 127.0.6533.73 版本後問題才出現。
Google 在接獲通報後立即進行調查,初步分析指出原因是開發部門對 Chrome 推出更新時未有做好功能保護,雖然密碼未有消失或被重設,但密碼管理器卻無法存取或找到密碼,Google 方面更為這次混亂事件向用家致歉。在 Google 最初推出的緊急維修中,用家必須手動輸入指令啟動 Chrome 瀏覽器,才能修復密碼管理器的問題,不過現時用家只須重新啟動 Chrome 便可。
有用家表示漏洞已存在兩個月
除了 Chrome 的密碼問題,Google 的 Workspace 在最近亦發生嚴重的身份驗證漏洞。外媒指黑客能夠在註冊 Workspace 帳戶時繞過電郵驗證,可使用一個電郵地址註冊並利用另一個完全不同的地址進行驗證。一旦通過驗證,黑客就可以利用Google單一登錄功能(SSO)訪問第三方服務。
雖然 Google 在 72 小時內已修復了這個問題並增加額外保護,但有部分用家表示這個漏洞已經存在至少兩個月時間,而且 Google 亦承認這次濫用事件涉及數千個已驗證的 Workspace 帳戶。連續兩次事件令人開始擔憂 Google 的安全水平是否正在下滑,希望不會變成像 Microsoft 般要被美國政府點名譴責。
想 守 住 企 業 網 絡 安 全 防 線 ?
