私のブログで 一部の G Suite ユーザーのパスワードが暗号化されずにプレーン テキスト ファイル内に保存されるという最近発見されたバグについて。 このバグは 2005 年から存在しています。 しかし、Googleは、これらのパスワードが攻撃者の手に渡った、あるいは悪用されたという証拠は見つからないと主張している。 ただし、同社は影響を受ける可能性のあるパスワードをリセットし、G Suite 管理者に問題を通知します。
G Suite は Gmail などの Google アプリのエンタープライズ版であり、このバグはビジネス向けに特別に設計された機能によりこの製品で発生したようです。 サービスの開始時、たとえば新入社員がシステムに入社する前に、企業管理者は G Suite アプリケーションを使用してユーザーのパスワードを手動で設定できました。 このオプションを使用すると、管理コンソールはそのようなパスワードをハッシュ化せずにプレーンテキストとして保存します。 Google は後にこの機能を管理者から剥奪しましたが、パスワードはテキスト ファイルに残されました。
Googleはその投稿の中で、エラーに関連する微妙なニュアンスが明確になるように、暗号化ハッシュがどのように機能するかを説明することに熱心に取り組んでいる。 パスワードは平文で保存されていましたが、Google サーバー上にあったため、第三者は (Google 従業員でない限り) サーバーにハッキングすることによってのみパスワードにアクセスできました。
Googleは、影響を受ける可能性のあるユーザーの数については明らかにしていないが、対象は「G Suiteエンタープライズ顧客の一部」、つまり2005年にG Suiteを使用していたユーザーの可能性が高いと述べた。 Google では、誰かがこのアクセスを悪意を持って使用したという証拠は見つかりませんでしたが、誰がこれらのテキスト ファイルにアクセスできるのかは完全には明らかではありません。
いずれにせよ、この問題は現在解決されており、Google はこの問題に関する投稿で遺憾の意を表明し、次のように述べています。 この場合、私たちは当社の基準またはクライアントの基準を満たしていませんでした。 ユーザーに謝罪し、将来的には改善することを約束します。」
出所: 3dnews.ru