På bloggen min om en nylig oppdaget feil som førte til at noen G Suite-brukeres passord ble lagret ukryptert i vanlige tekstfiler. Denne feilen har eksistert siden 2005. Google hevder imidlertid at de ikke kan finne noen bevis for at noen av disse passordene falt i hendene på angripere eller ble misbrukt. Imidlertid vil selskapet tilbakestille alle passord som kan bli berørt og varsle G Suite-administratorer om problemet.
G Suite er bedriftsversjonen av Gmail og andre Google-apper, og feilen oppsto tilsynelatende i dette produktet på grunn av en funksjon utviklet spesielt for bedrifter. I begynnelsen av tjenesten kunne en bedriftsadministrator bruke G Suite-applikasjoner til å angi brukerpassord manuelt: si før en ny ansatt ble med i systemet. Hvis han brukte dette alternativet, ville administrasjonskonsollen lagre slike passord som ren tekst i stedet for å hashe dem. Google tok senere denne muligheten fra administratorer, men passord ble værende i tekstfiler.
I sitt innlegg tar Google seg bryet med å forklare hvordan kryptografisk hashing fungerer slik at nyansene knyttet til feilen er tydelige. Selv om passordene ble lagret i klartekst, var de på Googles servere, så tredjeparter kunne bare få tilgang til dem ved å hacke seg inn på serverne (med mindre de var Google-ansatte).
Google sa ikke hvor mange brukere som potensielt ble berørt, annet enn å si at det var en "undergruppe av G Suite-bedriftskunder" – sannsynligvis alle som brukte G Suite i 2005. Selv om Google ikke kunne finne noen bevis for at noen brukte denne tilgangen med ondsinnethet, er det ikke helt klart hvem som kan ha tilgang til disse tekstfilene.
Uansett er problemet nå løst, og Google uttrykte beklagelse i sitt innlegg om problemet: «Vi tar sikkerheten til våre bedriftskunder svært alvorlig og er stolte av å fremme bransjeledende kontosikkerhetspraksis. I dette tilfellet oppfylte vi ikke våre standarder eller våre kunders standarder. Vi beklager til brukerne og lover å gjøre det bedre i fremtiden."
Kilde: 3dnews.ru