Google已解决了一个影响Google网站管理员工具的安全漏洞,该漏洞使用户可以访问他们本不应该登录的过时帐户。有关搜索引擎优化(SEO)博客和新闻网站的报道浮出水面,周二晚上,有关这种情况的消息传遍了整个网络。根据Google的说法,在星期二的几个小时中,“少量”的网站站长工具帐户被错误地重新验证了以前具有访问权限的用户。
谷歌发言人告诉eWEEK:“我们已经撤消了这些帐户,并正在研究防止再次发生此问题的方法。”
谷歌没有透露是什么原因导致了这种情况的发生。该问题对于受影响的组织可能是个问题,因为它使不应该拥有此服务的人(例如前雇员)可以访问帐户。
“从乍看之下,我们现在已经重新获得了我们以前可以访问的每个旧帐户的访问权限,无论是以前的客户还是访问我们进行短期咨询的网站,” SEO 博客David Naylor星期二写道。“同样有趣的是(如果您看有趣的一面),您可以看到谁赢得了客户或您从谁那里赢得了客户。”
Naylor观察到,但是恶意未经授权的访问所带来的潜在损害将不是一件容易的事。他补充说:“不过,更严重的是,现在WMT的功能比以往任何时候都强大,因此存在严重的风险,即那些不再有权进行更改的人可能会对站点造成损害。” “诸如拒绝链接列表,取消索引URL或整个站点,重定向URL,地理位置更改...之类的事情整个世界都是痛苦的。”
根据身份和访问管理供应商Symplified的CTO Darren Platt的说法,此事件凸显了公司在使用云服务时创建的“身份孤岛”的潜在问题。
他说:“这些冗余的用户信息存储由用户访问的每个站点维护。” “在企业IT体系结构中,有时(痛苦不堪),我们得知冗余数据最终不同步。在这种情况下,公司正在管理Google架构中其Web主工具的用户帐户-与安全的集中式用户管理流程分开他们的其他应用程序。这里发生的事情是Google决定了给定企业用户的决策,却没有企业对该用户的所有了解。”
但是,普拉特指出,谷歌有很明显的方法可以避免这个问题。他说:“在这种情况下,如果公司使用SAML(安全断言标记语言)对WebMaster工具服务的用户进行身份验证,他们将能够防止旧的管理帐户重新获得访问权限。”
“使用SAML协议,Google会将用户送回其雇主进行身份验证。由于该公司知道该用户不再在那里工作,因此他们将指示Google不允许该人访问,”普拉特说。
他补充说:“目前,随着企业间对云/ SaaS服务的爆炸式使用,最大的挑战是提高人们对这些身份和访问管理问题的认识。” “希望这一事件将迫使公司寻找防止这些问题发生的方法。”
