Di blog saya tentang bug yang baru ditemukan yang mengakibatkan sandi beberapa pengguna G Suite disimpan tanpa terenkripsi di dalam file teks biasa. Bug ini sudah ada sejak tahun 2005. Namun, Google mengklaim tidak dapat menemukan bukti bahwa kata sandi tersebut jatuh ke tangan penyerang atau disalahgunakan. Namun, perusahaan akan menyetel ulang sandi apa pun yang mungkin terpengaruh dan memberi tahu administrator G Suite mengenai masalah tersebut.
G Suite adalah Gmail versi perusahaan dan aplikasi Google lainnya, dan bug tampaknya terjadi pada produk ini karena fitur yang dirancang khusus untuk bisnis. Pada awal layanan, administrator perusahaan dapat menggunakan aplikasi G Suite untuk menyetel sandi pengguna secara manual: misalnya, sebelum karyawan baru bergabung dengan sistem. Jika dia menggunakan opsi ini, konsol admin akan menyimpan kata sandi tersebut sebagai teks biasa alih-alih melakukan hashing. Google kemudian menghilangkan kemampuan ini dari administrator, tetapi kata sandi tetap ada dalam file teks.
Dalam postingannya, Google bersusah payah menjelaskan cara kerja hashing kriptografi sehingga nuansa yang terkait dengan kesalahan tersebut menjadi jelas. Meskipun kata sandi disimpan dalam bentuk teks biasa, kata sandi tersebut berada di server Google, sehingga pihak ketiga hanya dapat mengaksesnya dengan meretas server (kecuali jika mereka adalah karyawan Google).
Google tidak menyebutkan berapa banyak pengguna yang berpotensi terkena dampaknya, selain mengatakan bahwa pengguna tersebut adalah "bagian dari pelanggan G Suite enterprise"—kemungkinan besar adalah siapa saja yang menggunakan G Suite pada tahun 2005. Meskipun Google tidak dapat menemukan bukti bahwa ada orang yang menggunakan akses ini secara jahat, tidak sepenuhnya jelas siapa yang mungkin memiliki akses ke file teks ini.
Bagaimanapun, masalah tersebut kini telah diperbaiki, dan Google menyatakan penyesalannya dalam postingannya mengenai masalah ini: “Kami sangat memperhatikan keamanan pelanggan perusahaan kami dan bangga mempromosikan praktik keamanan akun terdepan di industri. Dalam hal ini, kami tidak memenuhi standar kami atau standar klien kami. Kami meminta maaf kepada pengguna dan berjanji untuk melakukan yang lebih baik di masa depan."
Sumber: 3dnews.ru