Sul mio blog
G Suite è la versione aziendale di Gmail e di altre app Google e apparentemente il bug si è verificato in questo prodotto a causa di una funzionalità progettata specificamente per le aziende. All'inizio del servizio, un amministratore aziendale potrebbe utilizzare le applicazioni G Suite per impostare manualmente le password degli utenti: ad esempio, prima che un nuovo dipendente si unisca al sistema. Se utilizzasse questa opzione, la console di amministrazione salverebbe tali password come testo normale invece di sottoporle ad hashing. Successivamente Google ha tolto questa capacità agli amministratori, ma le password sono rimaste nei file di testo.
Nel suo post, Google si impegna a spiegare come funziona l'hashing crittografico in modo che le sfumature associate all'errore siano chiare. Sebbene le password fossero memorizzate in chiaro, si trovavano sui server di Google, quindi terze parti potevano accedervi solo hackerando i server (a meno che non fossero dipendenti di Google).
Google non ha detto quanti utenti sarebbero stati potenzialmente interessati, tranne che si trattava di un "sottoinsieme di clienti aziendali di G Suite", probabilmente chiunque avesse utilizzato G Suite nel 2005. Sebbene Google non sia riuscita a trovare prove che qualcuno abbia utilizzato questo accesso in modo dannoso, non è del tutto chiaro chi potrebbe avere accesso a questi file di testo.
In ogni caso, il problema è stato ora risolto e Google ha espresso rammarico nel suo post in merito al problema: “Prendiamo molto sul serio la sicurezza dei nostri clienti aziendali e siamo orgogliosi di promuovere pratiche di sicurezza degli account leader del settore. In questo caso, non abbiamo soddisfatto i nostri standard né quelli dei nostri clienti. Ci scusiamo con gli utenti e promettiamo di fare meglio in futuro”.
Fonte: 3dnews.ru