谷歌解决了一个影响谷歌网站管理员工具的安全漏洞,该工具允许用户访问他们不应该登录的过时帐户。关于搜索引擎优化(SEO)博客和新闻网站的报道浮出水面。周二晚上,关于这种情况的消息传遍了整个网络。据谷歌称,在周二的几个小时内,有“少量”站长工具账户被之前拥有访问权限的用户错误地重新验证。
谷歌发言人告诉eWEEK:“我们已经取消了这些账户,并正在研究防止这一问题再次发生的方法。”
谷歌没有透露造成这种情况的原因。对于受影响的组织来说,这个问题可能是一个问题,因为它使不应该拥有此服务的人(如前员工)能够访问该帐户。
SEO博客大卫奈洛尔周二写道:“乍一看,我们现在已经重新获得了以前访问的每个旧账户的访问权限,无论是以前的客户还是访问我们的网站进行短期咨询。“同样有趣的是(如果你看有趣的一面),你可以看到谁赢得了客户,或者你从谁那里赢得了客户。”
奈洛尔观察到,但恶意未授权访问造成的潜在损害将不是一件容易的事情。他补充说:“然而,更严重的是,WMT比以往任何时候都更强大,因此,那些不再有权做出改变的人可能会对网站造成损害,这是一个严重的风险。”“比如拒绝链接列表、取消网址或整个网站的索引、重定向网址、改变地理位置.对整个世界都是痛苦的。”
根据身份和访问管理提供商Symplified的CTO Darren Platt的说法,这一事件凸显了公司在使用云服务时产生的“身份孤岛”的潜在问题。
他说:“这些冗余的用户信息库由用户访问的每个网站维护。”“在企业IT架构中,有时(痛苦地),我们会了解到冗余数据最终会不同步。在这种情况下,该公司正在谷歌架构中管理其网络主要工具的用户账户——将他们的其他应用程序与安全的集中用户管理流程分开。这里发生的情况是,谷歌决定了给定企业用户的决定,但企业并不了解用户的全部情况。”
然而,普拉特指出,谷歌有明显的方法来避免这个问题。他说:“在这种情况下,如果公司使用SAML(安全断言标记语言)来认证站长工具服务的用户,他们将能够阻止旧的管理帐户重新获得访问权限。”
“使用SAML协议,谷歌会将用户送回雇主进行身份验证。因为公司知道这个用户不再在那里工作,他们将指示谷歌不允许这个人访问,”普拉特说。
他补充说:“目前,随着云/SaaS服务在企业中的爆炸性使用,最大的挑战是提高人们对这些身份和访问管理问题的认识。”“我希望这次事件能迫使公司想办法防止这些问题的发生。”