Auf meinem Blog über einen kürzlich entdeckten Fehler, der dazu führte, dass die Passwörter einiger G Suite-Benutzer unverschlüsselt in Klartextdateien gespeichert wurden. Dieser Fehler besteht seit 2005. Allerdings gibt Google an, keine Beweise dafür finden zu können, dass eines dieser Passwörter in die Hände von Angreifern geraten sei oder missbräuchlich verwendet worden sei. Das Unternehmen wird jedoch alle möglicherweise betroffenen Passwörter zurücksetzen und G Suite-Administratoren über das Problem informieren.
G Suite ist die Unternehmensversion von Gmail und anderen Google-Apps, und der Fehler trat in diesem Produkt offenbar aufgrund einer Funktion auf, die speziell für Unternehmen entwickelt wurde. Zu Beginn des Dienstes konnte ein Unternehmensadministrator mithilfe von G Suite-Anwendungen Benutzerkennwörter manuell festlegen, beispielsweise bevor ein neuer Mitarbeiter dem System beitrat. Wenn er diese Option nutzen würde, würde die Admin-Konsole solche Passwörter als Klartext speichern, anstatt sie zu hashen. Später entzog Google den Administratoren diese Möglichkeit, Passwörter blieben jedoch in Textdateien.
In seinem Beitrag legt Google Wert darauf, die Funktionsweise des kryptografischen Hashings zu erklären, damit die mit dem Fehler verbundenen Nuancen klar werden. Obwohl die Passwörter im Klartext gespeichert waren, befanden sie sich auf Google-Servern, sodass Dritte nur durch Hacking in die Server Zugriff auf sie erhalten konnten (es sei denn, es handelte sich um Google-Mitarbeiter).
Google hat nicht gesagt, wie viele Nutzer potenziell betroffen waren, außer dass es sich um eine „Untergruppe der G Suite-Unternehmenskunden“ handelte – wahrscheinlich um jeden, der G Suite im Jahr 2005 nutzte. Obwohl Google keine Beweise dafür finden konnte, dass jemand diesen Zugriff in böswilliger Absicht genutzt hat, ist nicht ganz klar, wer Zugriff auf diese Textdateien haben könnte.
Auf jeden Fall wurde das Problem inzwischen behoben und Google äußerte in seinem Beitrag sein Bedauern über das Problem: „Wir nehmen die Sicherheit unserer Unternehmenskunden sehr ernst und sind stolz darauf, branchenführende Kontosicherheitspraktiken zu fördern.“ In diesem Fall haben wir unsere Standards oder die unserer Kunden nicht erfüllt. Wir entschuldigen uns bei den Benutzern und versprechen, es in Zukunft besser zu machen.
Source: 3dnews.ru