På min blog om en nyligt opdaget fejl, der resulterede i, at nogle G Suite-brugeres adgangskoder blev gemt ukrypteret i almindelige tekstfiler. Denne fejl har eksisteret siden 2005. Google hævder dog, at det ikke kan finde beviser for, at nogen af disse adgangskoder faldt i hænderne på angribere eller blev misbrugt. Virksomheden vil dog nulstille alle adgangskoder, der kan blive påvirket, og underrette G Suite-administratorer om problemet.
G Suite er virksomhedsversionen af Gmail og andre Google-apps, og fejlen opstod tilsyneladende i dette produkt på grund af en funktion designet specifikt til virksomheder. I begyndelsen af tjenesten kunne en virksomhedsadministrator bruge G Suite-applikationer til at indstille brugeradgangskoder manuelt: f.eks. før en ny medarbejder sluttede sig til systemet. Hvis han brugte denne mulighed, ville administrationskonsollen gemme sådanne adgangskoder som almindelig tekst i stedet for at hashe dem. Google tog senere denne mulighed fra administratorer, men adgangskoder forblev i tekstfiler.
I sit indlæg gør Google sig umage med at forklare, hvordan kryptografisk hashing fungerer, så nuancerne forbundet med fejlen er tydelige. Selvom adgangskoderne blev gemt i klartekst, var de på Googles servere, så tredjeparter kunne kun få adgang til dem ved at hacke sig ind på serverne (medmindre de var Google-ansatte).
Google sagde ikke, hvor mange brugere der potentielt var berørt, bortset fra at sige, at det var en "undergruppe af G Suite-virksomhedskunder" - sandsynligvis alle, der brugte G Suite i 2005. Selvom Google ikke kunne finde beviser for, at nogen brugte denne adgang ondsindet, er det ikke helt klart, hvem der kan have adgang til disse tekstfiler.
Under alle omstændigheder er problemet nu løst, og Google udtrykte beklagelse i sit indlæg om problemet: “Vi tager sikkerheden for vores virksomhedskunder meget alvorligt og er stolte af at fremme brancheførende praksis for kontosikkerhed. I dette tilfælde opfyldte vi ikke vores standarder eller vores kunders standarder. Vi undskylder over for brugerne og lover at gøre det bedre i fremtiden."
Kilde: 3dnews.ru