Sul mio blog su un bug scoperto di recente che faceva sì che le password di alcuni utenti di G Suite venissero archiviate non crittografate all'interno di file di testo normale. Questo bug esiste dal 2005. Google afferma tuttavia di non essere riuscita a trovare alcuna prova che una di queste password sia caduta nelle mani di aggressori o sia stata utilizzata in modo improprio. Tuttavia, la società reimposterà tutte le password che potrebbero essere interessate e notificherà il problema agli amministratori di G Suite.
G Suite è la versione aziendale di Gmail e di altre app Google e apparentemente il bug si è verificato in questo prodotto a causa di una funzionalità progettata specificamente per le aziende. All'inizio del servizio, un amministratore aziendale potrebbe utilizzare le applicazioni G Suite per impostare manualmente le password degli utenti: ad esempio, prima che un nuovo dipendente si unisca al sistema. Se utilizzasse questa opzione, la console di amministrazione salverebbe tali password come testo normale invece di sottoporle ad hashing. Successivamente Google ha tolto questa capacità agli amministratori, ma le password sono rimaste nei file di testo.
Nel suo post, Google si impegna a spiegare come funziona l'hashing crittografico in modo che le sfumature associate all'errore siano chiare. Sebbene le password fossero memorizzate in chiaro, si trovavano sui server di Google, quindi terze parti potevano accedervi solo hackerando i server (a meno che non fossero dipendenti di Google).
Google non ha detto quanti utenti sarebbero stati potenzialmente interessati, tranne che si trattava di un "sottoinsieme di clienti aziendali di G Suite", probabilmente chiunque avesse utilizzato G Suite nel 2005. Sebbene Google non sia riuscita a trovare prove che qualcuno abbia utilizzato questo accesso in modo dannoso, non è del tutto chiaro chi potrebbe avere accesso a questi file di testo.
In ogni caso, il problema è stato ora risolto e Google ha espresso rammarico nel suo post in merito al problema: “Prendiamo molto sul serio la sicurezza dei nostri clienti aziendali e siamo orgogliosi di promuovere pratiche di sicurezza degli account leader del settore. In questo caso, non abbiamo soddisfatto i nostri standard né quelli dei nostri clienti. Ci scusiamo con gli utenti e promettiamo di fare meglio in futuro”.
Fonte: 3dnews.ru