Sự cố mà Google ghi nhận bắt đầu vào ngày 24/7 và kéo dài gần 18 giờ trước khi khắc phục vào ngày 25/7 được cho là do "thay đổi hành vi sản phẩm mà không có tính năng bảo vệ phù hợp”.
Sự cố mất mật khẩu đã ảnh hưởng đến người dùng trình duyệt web Chrome trên toàn thế giới, khiến họ không thể tìm thấy bất kỳ mật khẩu nào đã lưu bằng trình quản lý mật khẩu Chrome. Những mật khẩu mới lưu cũng không thể hiển thị đối với những người dùng bị ảnh hưởng. Google, hiện đã khắc phục sự cố, cho biết sự cố chỉ giới hạn ở phiên bản M127 của Trình duyệt Chrome trên nền tảng Windows.
Một sự cố trên hệ thống đã khiến mật khẩu được lưu trữ của 15 triệu tài khoản người dùng Google Chrome "bay màu".
Số lượng người dùng chính xác bị ảnh hưởng bởi sự cố được cho là rất lớn và rất khó để xác định. Tuy nhiên, dựa trên cơ sở có hơn 3 tỷ người dùng trình duyệt web Chrome, trong đó người dùng Windows chiếm phần lớn trong số này, có thể hình dung ra một con số ước tính. Google cho biết 25% bị thay đổi cấu hình trong trình duyệt, tương đương 750 triệu tài khoản. Công ty ước tính 2% người dùng gặp vấn đề về trình quản lý mật khẩu, tương đương 15 triệu tài khoản, nhưng không đề cập đến việc chúng bị lộ ra bên ngoài hay chưa.
Sự cố gián đoạn của Trình quản lý mật khẩu Chrome hiện đã được khắc phục hoàn toàn. Google cho biết đã cung cấp giải pháp tạm thời tại thời điểm đó, bao gồm quy trình đặc biệt không thân thiện với người dùng là khởi chạy trình duyệt Chrome với cờ dòng lệnh " —enable-features=SkipUndecryptablePasswords".
Rất may, bản sửa lỗi đầy đủ hiện đã được triển khai, chỉ yêu cầu người dùng khởi động lại trình duyệt Chrome để có hiệu lực. Google cho biết "Chúng tôi xin lỗi vì sự bất tiện mà sự gián đoạn/mất dịch vụ này có thể gây ra". Google cho biết bất kỳ người dùng Chrome nào gặp phải tác động vượt quá những gì đã giải thích nên liên hệ với Bộ phận hỗ trợ của Google Workspace.
Google Chrome phiên bản 127 được phát hành để khắc phục tổng cộng 24 vấn đề bảo mật, nhưng vấn đề về trình quản lý mật khẩu không phải là một trong số đó. Theo các chuyên gia, việc duy trì một ứng dụng quản lý mật khẩu chuyên dụng là hợp lý nhất theo quan điểm bảo mật nghiêm ngặt. Mặc dù giải pháp dựa trên trình duyệt phục vụ cho yếu tố dễ sử dụng, nhưng việc dồn hết các mật khẩu vào một chỗ thì không hẳn là một sự lựa chọn tốt.
Google Chrome phiên bản 127 khắc phục hàng loạt lỗ hổng bảo mật nhưng lại tồn tại lỗi nghiêm trọng về trình quản lý mật khẩu.
Theo phóng viên điều tra an ninh mạng nổi tiếng Brian Krebs, mật khẩu không phải là thứ duy nhất mà người dùng Google thấy biến mất gần đây: xác minh email khi tạo tài khoản Google Workspace mới cũng bị mất đối với một số người dùng. Sự cố xác thực, hiện cũng đã được Google khắc phục, cho phép những kẻ xấu "lách luật xác minh email bắt buộc để tạo tài khoản Google Workspace", Krebs cho biết, điều này cho phép chúng "mạo danh người giữ tên miền tại các dịch vụ của bên thứ ba". Việc mạo danh này có nghĩa là một người như vậy sau đó có thể đăng nhập vào các dịch vụ của bên thứ ba, bao gồm cả tài khoản Dropbox.
Vấn đề này có vẻ liên quan đến các bản dùng thử miễn phí mà Google Workspace cung cấp, cho phép truy cập vào các dịch vụ như Google Docs chẳng hạn. Tuy nhiên, Gmail chỉ có thể truy cập được đối với những người dùng hiện tại có thể xác thực quyền kiểm soát của họ đối với tên miền được liên kết. Hoặc ít nhất, đó là những gì đáng lẽ phải xảy ra. Thay vào đó, có vẻ như kẻ tấn công có thể bỏ qua hoàn toàn quy trình xác thực.
Anu Yamunan, giám đốc bảo vệ lạm dụng và an toàn tại Google Workspace, nói với Krebs rằng một vài nghìn tài khoản không được xác minh tên miền như vậy đã được tạo trước khi bản sửa lỗi được áp dụng. Có thể nói rằng bản sửa lỗi đã được thực hiện trong vòng 72 giờ kể từ khi lỗ hổng được báo cáo.
