Al meu blog sobre un error descobert recentment que va provocar que les contrasenyes d'alguns usuaris de G Suite s'emmagatzemen sense xifrar dins de fitxers de text sense format. Aquest error existeix des del 2005. No obstant això, Google afirma que no ha trobat cap prova que cap d'aquestes contrasenyes hagi caigut en mans d'atacants o s'hagi fet un mal ús. Tanmateix, l'empresa restablirà totes les contrasenyes que es puguin veure afectades i notificarà el problema als administradors de G Suite.
G Suite és la versió empresarial de Gmail i d'altres aplicacions de Google, i sembla que l'error es va produir en aquest producte a causa d'una funció dissenyada específicament per a empreses. Al començament del servei, un administrador de l'empresa podia utilitzar les aplicacions de G Suite per establir manualment les contrasenyes dels usuaris: per exemple, abans que un nou empleat s'incorporés al sistema. Si fes servir aquesta opció, la consola d'administració desaria aquestes contrasenyes com a text sense format en comptes de fer-les hash. Més tard, Google va retirar aquesta capacitat als administradors, però les contrasenyes es van mantenir als fitxers de text.
A la seva publicació, Google s'esforça a explicar com funciona el hashing criptogràfic perquè els matisos associats a l'error siguin clars. Tot i que les contrasenyes estaven emmagatzemades en text clar, estaven als servidors de Google, de manera que tercers només hi podien accedir piratejant els servidors (tret que fossin empleats de Google).
Google no va dir quants usuaris es van veure potencialment afectats, a part de dir que era un "subconjunt de clients empresarials de G Suite", probablement qualsevol que utilitzés G Suite el 2005. Tot i que Google no va trobar cap evidència que algú utilitzés aquest accés de manera maliciosa, no està del tot clar qui podria tenir accés a aquests fitxers de text.
En qualsevol cas, ara s'ha solucionat el problema i Google va lamentar el problema a la seva publicació: "Ens prenem molt seriosament la seguretat dels nostres clients empresarials i estem orgullosos de promoure pràctiques de seguretat de comptes líders en el sector. En aquest cas, no vam complir els nostres estàndards o els estàndards dels nostres clients. Demanem disculpes als usuaris i prometem fer-ho millor en el futur".
Font: 3dnews.ru