У сваім блогу аб нядаўна выяўленай памылцы, у выніку якой паролі некаторых карыстачоў G Suite захоўваліся ў незашыфраваным выглядзе ўсярэдзіне простых тэкставых файлаў. Гэтая памылка існуе з 2005 года. Зрэшты, Google сцвярджае, што не можа знайсці ніякіх доказаў, што які-небудзь з гэтых пароляў патрапіў у рукі зламыснікаў ці быў неправамерна скарыстаны. Тым не менш, кампанія скіне ўсе паролі, якія могуць быць закрануты, і паведаміць адміністратарам G Suite аб праблеме.
G Suite уяўляе сабой карпаратыўную версію Gmail і іншых прыкладанняў Google, і, відавочна, памылка ўзнікла ў гэтым прадукце з-за функцыі, распрацаванай спецыяльна для прадпрыемстваў. Спачатку працы сэрвісу адміністратар кампаніі мог выкарыстоўваць прыкладанні G Suite для ўсталёўкі пароляў карыстачоў уручную: скажам, да таго, як у сістэму ўступіў новы супрацоўнік. Калі ён карыстаўся гэтай магчымасцю, кансоль адміністратара захоўвала такія паролі ў выглядзе простага тэксту замест іх хэшавання. Пазней Google адняла ў адміністратараў гэтую магчымасць, але паролі так і засталіся ў тэкставых файлах.
У сваёй публікацыі Google старанна тлумачыць, як працуе крыптаграфічнае хэшаванне, каб былі ясныя нюансы, звязаныя з памылкай. Хоць паролі захоўваліся ў адкрытым выглядзе, яны знаходзіліся на серверах Google, таму атрымаць доступ да іх іншыя асобы маглі толькі шляхам узлому сервераў (калі яны не з'яўляліся супрацоўнікамі Google).
Google не паведаміла колькасць патэнцыйна закранутых карыстальнікаў, адзначыўшы толькі, што гаворка ідзе аб «падмностве карпаратыўных кліентаў G Suite» – верагодна, любога, хто выкарыстоўваў G Suite у 2005 годзе. І хоць Google не змагла знайсці сведчанняў, што хтосьці выкарыстаў гэты доступ зламысна, не зусім зразумела, хто мог мець доступ да гэтых тэкставых файлаў.
У любым выпадку, праблема ўжо выпраўлена, і Google выказала шкадаванне ў сваёй публікацыі аб праблеме: «Мы вельмі сур'ёзна ставімся да бяспекі нашых карпаратыўных кліентаў і ганарымся тым, што прасоўваем лепшыя ў галіны метады забеспячэння бяспекі ўліковых запісаў. У дадзеным выпадку мы не адпавядалі ні нашым стандартам, ні нашым кліентам. Прыносім прабачэнні карыстальнікам і абяцаем у будучыні стаць лепш».
Крыніца: 3dnews.ru