Pe blogul meu despre o eroare descoperită recent, care a dus la stocarea necriptată a parolelor unor utilizatori G Suite în fișiere text simplu. Acest bug există din 2005. Cu toate acestea, Google susține că nu poate găsi nicio dovadă că oricare dintre aceste parole a căzut în mâinile atacatorilor sau a fost utilizată greșit. Cu toate acestea, compania va reseta orice parole care ar putea fi afectate și va notifica administratorii G Suite despre problemă.
G Suite este versiunea de întreprindere a Gmail și a altor aplicații Google, iar eroarea se pare că a apărut în acest produs datorită unei funcții concepute special pentru companii. La începutul serviciului, un administrator al companiei putea folosi aplicațiile G Suite pentru a seta manual parolele utilizatorului: să zicem, înainte ca un nou angajat să se alăture sistemului. Dacă ar folosi această opțiune, consola de administrare ar salva astfel de parole ca text simplu, în loc să le pună în hash. Ulterior, Google a luat această abilitate de la administratori, dar parolele au rămas în fișierele text.
În postarea sa, Google se străduiește să explice cum funcționează hashingul criptografic, astfel încât nuanțele asociate cu eroarea să fie clare. Deși parolele erau stocate în text clar, acestea se aflau pe serverele Google, astfel încât terții puteau obține acces la ele doar prin piratare pe servere (cu excepția cazului în care erau angajați Google).
Google nu a spus câți utilizatori au fost potențial afectați, în afară de a spune că este un „subset de clienți G Suite enterprise” – probabil oricine care a folosit G Suite în 2005. Deși Google nu a putut găsi nicio dovadă că cineva a folosit acest acces în mod rău intenționat, nu este complet clar cine ar fi putut avea acces la aceste fișiere text.
În orice caz, problema a fost rezolvată acum, iar Google și-a exprimat regretul în postarea sa cu privire la această problemă: „Luăm foarte în serios securitatea clienților noștri întreprinderi și suntem mândri să promovăm practicile de securitate a conturilor de vârf din industrie. În acest caz, nu am îndeplinit standardele noastre sau standardele clienților noștri. Ne cerem scuze utilizatorilor și promitem că vom face mai bine în viitor.”
Sursa: 3dnews.ru