A blogomon egy nemrégiben felfedezett hibáról, amelynek következtében egyes G Suite-felhasználók jelszavait titkosítatlanul tárolták az egyszerű szöveges fájlokban. Ez a hiba 2005 óta létezik. A Google azonban azt állítja, hogy nem talál bizonyítékot arra, hogy ezek a jelszavak bármelyike támadók kezébe került volna, vagy visszaéltek velük. A vállalat azonban visszaállítja az esetlegesen érintett jelszavakat, és értesíti a G Suite-adminisztrátorokat a problémáról.
A G Suite a Gmail és más Google-alkalmazások vállalati verziója, és a hiba nyilvánvalóan ebben a termékben fordult elő egy kifejezetten vállalkozások számára kialakított funkció miatt. A szolgáltatás kezdetén a vállalati adminisztrátor a G Suite-alkalmazásokkal manuálisan állíthatta be a felhasználói jelszavakat, például mielőtt új alkalmazott csatlakozott volna a rendszerhez. Ha ezt a lehetőséget használja, a felügyeleti konzol egyszerű szövegként menti el ezeket a jelszavakat a kivonatolás helyett. A Google később elvette ezt a képességet a rendszergazdáktól, de a jelszavak szöveges fájlokban maradtak.
Bejegyzésében a Google mindent megtesz annak elmagyarázására, hogyan működik a kriptográfiai hash, hogy a hibához kapcsolódó árnyalatok egyértelműek legyenek. A jelszavakat ugyan tiszta szövegben tárolták, de a Google szerverein voltak, így harmadik felek csak a szerverek feltörésével férhettek hozzájuk (hacsak nem a Google alkalmazottai voltak).
A Google nem közölte, hogy hány felhasználót érintett az érintett, kivéve azt, hogy ez „a G Suite vállalati ügyfeleinek egy része” – valószínűleg mindenki, aki 2005-ben használta a G Suite-ot. Bár a Google nem talált bizonyítékot arra, hogy bárki is rosszindulatúan használta volna ezt a hozzáférést, nem teljesen világos, hogy ki férhetett hozzá ezekhez a szöveges fájlokhoz.
Mindenesetre a problémát mostanra kijavították, és a Google sajnálatát fejezte ki a problémával kapcsolatos bejegyzésében: „Nagyon komolyan vesszük vállalati ügyfeleink biztonságát, és büszkék vagyunk arra, hogy népszerűsítjük az iparágban vezető fiókbiztonsági gyakorlatokat. Ebben az esetben sem saját, sem ügyfeleink előírásainak nem feleltünk meg. Elnézést kérünk a felhasználóktól, és megígérjük, hogy a jövőben jobb lesz.”
Forrás: 3dnews.ru