På min blogg om ett nyligen upptäckt fel som resulterade i att vissa G Suite-användares lösenord lagrades okrypterade i vanliga textfiler. Denna bugg har funnits sedan 2005. Google hävdar dock att de inte kan hitta några bevis för att något av dessa lösenord hamnat i händerna på angripare eller missbrukats. Företaget kommer dock att återställa alla lösenord som kan påverkas och meddela G Suite-administratörer om problemet.
G Suite är företagsversionen av Gmail och andra Google-appar, och felet uppstod tydligen i den här produkten på grund av en funktion som utformats speciellt för företag. I början av tjänsten kunde en företagsadministratör använda G Suite-applikationer för att ställa in användarlösenord manuellt: säg innan en ny anställd gick med i systemet. Om han använde det här alternativet skulle administratörskonsolen spara sådana lösenord som vanlig text istället för att hasha dem. Google tog senare bort denna förmåga från administratörer, men lösenord fanns kvar i textfiler.
I sitt inlägg försöker Google förklara hur kryptografisk hashing fungerar så att nyanserna förknippade med felet är tydliga. Även om lösenorden lagrades i klartext fanns de på Googles servrar, så tredje part kunde bara få tillgång till dem genom att hacka sig in på servrarna (såvida de inte var Google-anställda).
Google sa inte hur många användare som potentiellt påverkades, förutom att säga att det var en "undergrupp av G Suite-företagskunder" – troligen alla som använde G Suite 2005. Även om Google inte kunde hitta några bevis för att någon använde denna åtkomst med uppsåt, är det inte helt klart vem som kan ha tillgång till dessa textfiler.
Hur som helst har problemet nu åtgärdats och Google uttryckte beklagande i sitt inlägg om problemet: "Vi tar säkerheten för våra företagskunder på största allvar och är stolta över att främja branschledande metoder för kontosäkerhet. I det här fallet uppfyllde vi inte våra standarder eller våra kunders standarder. Vi ber om ursäkt till användarna och lovar att göra det bättre i framtiden.”
Källa: 3dnews.ru