Forbes'in pazartesi günü bildirdiğine göre bir Google mühendisi, Sunnyvale, Kaliforniya'daki kampüsündeki kapılara erişimi kontrol eden üçüncü parti sistemdeki bir güvenlik açığını keşfetti ve tesiste RFID anahtar kartlarıyla çalışan her kilidi atlatabileceğini kanıtlama fırsatını yakaladı.
Forbes'in söylediğine göre, çalışan David Tomaschik, Google'ın ağına bağlı Software House cihazlarının güvenli olmayan, kodlanmış bir şifreleme anahtarı kullandığını fark etti ve ortaya çıkabilecek sonuçları kanıtlamak için saldırıyı başlattı:
"Geçtiğimiz yaz Tomaschik, Software House cihazlarının (iStar Ultra ve IP-ACM olarak adlandırıldı) Google ağına gönderdiği şifrelenmiş mesajlara baktığında rasgele olmadıklarını keşfetti; şifrelenmiş mesajlar, düzgün bir şekilde korunmaları durumunda her zaman rasgele görünmelidir. Bu durum merak uyandırdı ve daha derin bir inceleme, tüm Software House cihazları tarafından "kodlanmış" bir şifreleme anahtarı kullanıldığını keşfetti. Bunun anlamı, bir kapının kilidini açmak gibi istediği anahtar ve forge komutlarını etkili bir şekilde çoğaltabilmekti. Ya da aynı etkiyi gerçek kilit açma komutlarını tekrarlayarak oluşturabilirdi."
Tomaschik, diğer Google çalışanlarının bina bölümlerine erişimini engellemek için de bu güvenlik açığından elde ettiği bilgileri kullanabiliyordu. Dahası, tüm bunları iz bırakmadan yapabiliyordu:
"Tomaschik, tüm bu eylemlerini kaydetmeden yapabileceğini de keşfetti. Ve meşru Google çalışanlarının kapıları açmalarını da engelleyebiliyordu. Forbes'e 'Bulgularımı bir kez aldığımda bir öncelik haline geldi. Oldukça kötüydü,' dedi. Tomaschik'in söylediğine göre Google, daha sonra ofislerine saldırıları önlemek için hızlı bir şekilde harekete geçti."
Google, Forbes'e, kötü niyetli bilgisayar korsanlarının Tomaschik'in keşfinden önce güvenlik açığından yararlandıklarına dair hiçbir kanıtları olmadığını söyledi. Forbes'in haberine göre Software House cihazlarının tasarımı güvenliği artırmak için güncellendi.
Bunun özellikle göze çarpan bir sorun olduğunu görmek kolay. Google çalışanlarının güvenliğine ek olarak şirketin sahibi Alphabet, trilyon dolar değerine doğru yarışan teknoloji şirketlerinden biri. Bu yüzden, tesisleri etrafta serbestçe dolaşan rastgele kişilerin olması için harika bir yer değil. Ve Forbes'in de belirttiği gibi, Tomaschik sadece birkaç RFID anahtar kartı güvenlik sistemi üreticisi olmasından dolayı endişe duyuyor. Bu, Software House'un güvenlik açığının büyük olasılıkla kurulmuş olan diğer güvenlik sistemlerinin endişe verici bir yüzdesinde mevcut olduğu anlamına geliyor...