Google признает, что некоторые пароли G Suite хранились в открытом виде с 2005 года

Компания Google объявила, что начала уведомлять администраторов о ненадлежащем хранении некоторых паролей на своих серверах. Google заявляет, что его политика заключается в хранении паролей пользователей с помощью криптографических хэшей, которые маскируют пароли для обеспечения их безопасности. Однако Google недавно уведомил часть своих корпоративных клиентов G Suite о том, что некоторые пароли хранятся во внутренних зашифрованных системах без хэшей.

Google отмечает, что проблема затрагивает только бизнес-пользователей и что ни один из бесплатных потребительских аккаунтов не пострадал. Google говорит, что работает с корпоративными администраторами пострадавших организаций, чтобы гарантировать, что пользователи сбрасывают свои пароли. Поисковый гигант провел «тщательное расследование» и не нашел доказательств того, что нехешированные пароли когда-либо использовались не по назначению.

Google немного рассказывает о том, как он обычно хранит пароли, говоря, что вместо того, чтобы запоминать точные символы пароля; он шифрует пароль с помощью хеш-функции, чтобы он отличался от настоящего пароля. Хэшированный пароль хранится вместе с именем пользователя в его системах . Google говорит, что хешировать пароли просто, но почти невозможно расхешировать их и украсть пароль.

Google ранее предоставлял администраторам доменов инструмент для установки и восстановления паролей после того, как эта функция часто запрашивалась. Он отмечает, что функции восстановления паролей больше не существует. Google допустил ошибку, когда функциональность была реализована в 2005 году, и консоль администратора хранила нехешированный пароль. Хотя эта практика не соответствовала стандартам Google, пароли оставались в защищенной зашифрованной инфраструктуре. Теперь проблема устранена.

Google также признает, что в январе 2019 года он непреднамеренно хранил подмножество нехешированных паролей в своей защищенной зашифрованной инфраструктуре максимум 14 дней. Эта проблема также была исправлена, и Google отмечает, что проверки безопасности будут продолжать гарантировать, что проблема была изолированным инцидентом. Google уведомил администраторов G Suite об изменении затронутых паролей, но также сбросил учетные записи, которые сами этого не сделали. Google также извинился перед пользователями и пообещал исправиться.

Источник (англ.)

Поставить оценку
Кофебрейкер | Интернет-журнал