Op mijn blog over een onlangs ontdekte bug die ertoe leidde dat de wachtwoorden van sommige G Suite-gebruikers onversleuteld werden opgeslagen in platte tekstbestanden. Deze bug bestaat al sinds 2005. Google beweert echter dat het geen enkel bewijs kan vinden dat een van deze wachtwoorden in handen van aanvallers is gevallen of is misbruikt. Het bedrijf zal echter alle wachtwoorden resetten die mogelijk getroffen zijn en G Suite-beheerders op de hoogte stellen van het probleem.
G Suite is de zakelijke versie van Gmail en andere Google-apps, en de bug is blijkbaar in dit product opgetreden vanwege een functie die speciaal voor bedrijven is ontworpen. Aan het begin van de service kon een bedrijfsbeheerder G Suite-applicaties gebruiken om gebruikerswachtwoorden handmatig in te stellen: bijvoorbeeld voordat een nieuwe medewerker bij het systeem kwam. Als hij deze optie zou gebruiken, zou de beheerdersconsole dergelijke wachtwoorden opslaan als platte tekst in plaats van ze te hashen. Google heeft deze mogelijkheid later van beheerders weggenomen, maar wachtwoorden bleven in tekstbestanden staan.
In zijn post doet Google moeite om uit te leggen hoe cryptografische hashing werkt, zodat de nuances die aan de fout zijn gekoppeld duidelijk zijn. Hoewel de wachtwoorden in leesbare tekst werden opgeslagen, stonden ze op de servers van Google, waardoor derden er alleen toegang toe konden krijgen door de servers te hacken (tenzij het medewerkers van Google waren).
Google heeft niet gezegd hoeveel gebruikers mogelijk getroffen zijn, behalve dat het om een "subset van zakelijke G Suite-klanten" ging, waarschijnlijk iedereen die G Suite in 2005 gebruikte. Hoewel Google geen bewijs kon vinden dat iemand deze toegang kwaadwillig gebruikte, is het niet helemaal duidelijk wie toegang zou kunnen hebben tot deze tekstbestanden.
Hoe dan ook, het probleem is nu opgelost en Google uitte zijn spijt in zijn bericht over het probleem: “We nemen de veiligheid van onze zakelijke klanten zeer serieus en zijn er trots op dat we toonaangevende accountbeveiligingspraktijken promoten. In dit geval voldeden wij niet aan onze normen en die van onze klanten. We verontschuldigen ons bij de gebruikers en beloven dat we het in de toekomst beter zullen doen.”
Bron: 3dnews.ru