Στο blog μου σχετικά με ένα σφάλμα που ανακαλύφθηκε πρόσφατα, το οποίο είχε ως αποτέλεσμα την αποθήκευση των κωδικών πρόσβασης ορισμένων χρηστών του G Suite χωρίς κρυπτογράφηση σε αρχεία απλού κειμένου. Αυτό το σφάλμα υπάρχει από το 2005. Ωστόσο, η Google ισχυρίζεται ότι δεν μπορεί να βρει στοιχεία που να αποδεικνύουν ότι κάποιος από αυτούς τους κωδικούς πρόσβασης έπεσε στα χέρια των επιτιθέμενων ή ότι έγινε κατάχρηση. Ωστόσο, η εταιρεία θα επαναφέρει τυχόν κωδικούς πρόσβασης που ενδέχεται να επηρεαστούν και θα ειδοποιήσει τους διαχειριστές του G Suite για το πρόβλημα.
Το G Suite είναι η εταιρική έκδοση του Gmail και άλλων εφαρμογών Google και το σφάλμα προφανώς παρουσιάστηκε σε αυτό το προϊόν λόγω μιας λειτουργίας που έχει σχεδιαστεί ειδικά για επιχειρήσεις. Στην αρχή της υπηρεσίας, ένας διαχειριστής της εταιρείας θα μπορούσε να χρησιμοποιήσει τις εφαρμογές του G Suite για να ορίσει τους κωδικούς πρόσβασης χρήστη με μη αυτόματο τρόπο: ας πούμε, προτού ένας νέος υπάλληλος εγγραφεί στο σύστημα. Εάν χρησιμοποιούσε αυτήν την επιλογή, η κονσόλα διαχειριστή θα αποθηκεύει αυτούς τους κωδικούς πρόσβασης ως απλό κείμενο αντί να τους κατακερματίζει. Η Google αφαίρεσε αργότερα αυτή τη δυνατότητα από τους διαχειριστές, αλλά οι κωδικοί πρόσβασης παρέμειναν σε αρχεία κειμένου.
Στην ανάρτησή της, η Google καταβάλλει κάθε προσπάθεια να εξηγήσει πώς λειτουργεί ο κατακερματισμός κρυπτογράφησης, ώστε οι αποχρώσεις που σχετίζονται με το σφάλμα να είναι ξεκάθαρες. Αν και οι κωδικοί πρόσβασης ήταν αποθηκευμένοι σε καθαρό κείμενο, ήταν σε διακομιστές της Google, επομένως τρίτα μέρη μπορούσαν να αποκτήσουν πρόσβαση σε αυτούς μόνο μέσω εισβολής στους διακομιστές (εκτός αν ήταν υπάλληλοι της Google).
Η Google δεν είπε πόσοι χρήστες δυνητικά επηρεάστηκαν, εκτός από το ότι ήταν ένα "υποσύνολο εταιρικών πελατών του G Suite"—πιθανότατα οποιοσδήποτε χρησιμοποίησε το G Suite το 2005. Αν και η Google δεν μπόρεσε να βρει στοιχεία ότι κάποιος χρησιμοποίησε αυτήν την πρόσβαση κακόβουλα, δεν είναι απολύτως σαφές ποιος μπορεί να έχει πρόσβαση σε αυτά τα αρχεία κειμένου.
Σε κάθε περίπτωση, το πρόβλημα έχει πλέον επιλυθεί και η Google εξέφρασε τη λύπη της στην ανάρτησή της σχετικά με το θέμα: «Λαμβάνουμε πολύ σοβαρά υπόψη την ασφάλεια των εταιρικών πελατών μας και είμαστε περήφανοι που προωθούμε κορυφαίες πρακτικές ασφάλειας λογαριασμών. Σε αυτή την περίπτωση, δεν ανταποκριθήκαμε στα πρότυπά μας ή στα πρότυπα των πελατών μας. Ζητάμε συγγνώμη από τους χρήστες και υποσχόμαστε ότι θα τα πάμε καλύτερα στο μέλλον.»
Πηγή: 3dnews.ru