Een hacker heeft de hand weten te leggen op interne bedrijfsdocumenten van Twitter, dat gebruik maakt van Google Apps. Het nieuws werpt nieuw licht op de reeds lang bestaande vraagtekens bij de veiligheid van cloud-based diensten, zeker nu Google heeft aangekondigd dat Chrome OS voornamelijk cloud-based zal zijn.
De hacker kwam in het bezit van de documenten door het antwoord op de veiligheidsvraag van een Twitter medewerker te raden. Omdat Twitter intern gebruik maakt van de op cloud computing gebaseerde dienst Google Apps was het voor de hacker relatief eenvoudig om gevoelige bedrijfsdocumenten in te zien.
Volgens een Union Square Ventures partner, een van bedrijven die investeert in Twitter, legt de inbraak de kwetsbaarheid van het systeem van gebruikersnaam en wachtwoord als vorm van beveiliging bloot.
With anybody with an Internet connection potentially being able to access, a simple Username/password scheme is clearly insufficient for authentication. This is especially true given password reset mechanisms based on 'canned' questions with easily guessed answers.
Het voorstel van de partner is om naast de gebruikersnaam en wachtwoord-verificatie een tweede beveiligingslaag in te bouwen om te voorkomen dat gevoelige informatie al te gemakkelijk op straat terecht komt.
Als eerste noemt hij de SMS-verificatie die we in Nederland bijvoorbeeld kennen van de overheidsdienst DigID. Daarbij wordt er na het invoeren van gebruikersnaam en wachtwoord een SMS met verificatiecode gestuurd die ook ingevoerd moet worden.
Het tweede idee dat hij oppert is een variant hierop. In plaats van SMS wordt gemaakt van een applicatie op je mobiele telefoon die verbinding maakt met de cloud-based service waarop je wilt inloggen, en dan een verificatiecode uitgeeft die moet worden ingevoerd.
Reactie Google
Google's Macduff Hughes erkent dat er een discussie gaande is binnen het bedrijf over de veiligheid van online accounts. Volgens het hoofd van de programmeerafdeling worden consumenten die gebruik maken van de Google Gmail dienst er al extra op gewezen voorzichtig om te gaan met wachtwoorden en veiligheidsvragen voor hun accounts. Daarnaast is het ook mogelijk om je mobiele telefoonnummer op te geven waarnaar je nieuwe wachtwoord wordt verstuurd als je die bent vergeten.
Ondanks alle vraagtekens is er nog geen tweede veiligheidslaag ingebouwd voor individuele gebruikers zoals aan het begin van dit artikel werd aangehaald. Voor bedrijven is dit overigens wel mogelijk. Echter, dat de mogelijkheid er is wil niet zeggen dat ze ook benut wordt.
Voor Google Apps werkt het overigens anders als je je wachtwoord bent vergeten. Daar moeten gebruikers contact opnemen met de beheerder van het domein om weer toegang te krijgen.
