Na moim blogu o niedawno wykrytym błędzie, w wyniku którego hasła niektórych użytkowników G Suite były przechowywane w postaci niezaszyfrowanej w zwykłych plikach tekstowych. Ten błąd istnieje od 2005 roku. Google twierdzi jednak, że nie może znaleźć żadnych dowodów na to, że którekolwiek z tych haseł wpadło w ręce atakujących lub zostało niewłaściwie wykorzystane. Firma zresetuje jednak wszystkie hasła, których może to dotyczyć, i powiadomi administratorów G Suite o problemie.
G Suite to korporacyjna wersja Gmaila i innych aplikacji Google, a błąd najwyraźniej wystąpił w tym produkcie ze względu na funkcję zaprojektowaną specjalnie dla firm. Na początku usługi administrator firmy mógł za pomocą aplikacji G Suite ręcznie ustawić hasła użytkowników: powiedzmy przed dołączeniem nowego pracownika do systemu. Gdyby użył tej opcji, konsola administracyjna zapisałaby takie hasła jako zwykły tekst, zamiast je szyfrować. Google odebrał później tę możliwość administratorom, ale hasła pozostały w plikach tekstowych.
W swoim poście Google stara się wyjaśnić, jak działa haszowanie kryptograficzne, aby niuanse związane z błędem były jasne. Choć hasła były przechowywane w postaci zwykłego tekstu, znajdowały się na serwerach Google, zatem osoby trzecie mogły uzyskać do nich dostęp jedynie poprzez włamanie się na serwery (chyba że były to pracownicy Google).
Google nie podał, ilu użytkowników potencjalnie ucierpiało, poza tym, że stwierdził, że jest to „podzbiór klientów korporacyjnych korzystających z G Suite” – prawdopodobnie każdy, kto korzystał z G Suite w 2005 roku. Chociaż Google nie znalazło żadnych dowodów na to, że ktokolwiek korzystał z tego dostępu w złośliwy sposób, nie jest do końca jasne, kto może mieć dostęp do tych plików tekstowych.
W każdym razie problem został już rozwiązany, a Google wyraził ubolewanie w swoim poście na ten temat: „Bardzo poważnie podchodzimy do bezpieczeństwa naszych klientów korporacyjnych i z dumą promujemy wiodące w branży praktyki bezpieczeństwa kont. W tym przypadku nie spełniliśmy naszych standardów i standardów naszych klientów. Przepraszamy użytkowników i obiecujemy poprawę w przyszłości.”
Źródło: 3dnews.ru