Google хранила пароли пользователей G Suite в незашифрованном виде на протяжении 14 лет

Google пополнила ряд компаний, безответственно относящихся к пользовательским данным. Компания сообщила, что случайно хранила пароли пользователей в виде открытого текста. Пользователям G Suite стоит обратить внимание.

Google говорит, что ошибка затронула «небольшой процент пользователей G Suite», то есть она не влияет на отдельные учетные записи потребителей, но затрагивает некоторые корпоративные учетные записи. Компания обычно хранит пароли на своих серверах в криптографически зашифрованном состоянии, известном как хеш. Но ошибка в функции восстановления пароля G Suite для администраторов привела к тому, что незащищенные пароли хранились в инфраструктуре панели управления, называемой консолью администратора. Google уже отключила функцию, которая содержала ошибку.

До этого пароли были бы доступны авторизованному персоналу Google или злоумышленникам. Администратор каждой организации мог также получить доступ к незашифрованным паролям владельцев учетных записей в своей группе.

Напомним, что ранее Twitter и *-another-security-issue.html»>Facebook* столкнулись с такой же проблемой. В то время Twitter не стал комментировать, сколько времени он хранил пароли пользователей в незашифрованном виде. Баг Facebook* существовал с 2012 года. Между тем, ошибка Google существовала с 2005 года — 14 лет.

Google в настоящее время уведомляет администраторов G Suite и сообщает, что также автоматически сбросит все затронутые пароли, которые еще не были изменены.

«Google, как правило, имеет приличный послужной список, позволяющий быстро обнаруживать и исправлять ошибки, поэтому тот факт, что это происходило с 2005 года и не было замечено, вызывает недоумение», — говорит Дэвид Кеннеди, генеральный директор компании TrustedSec по тестированию проникновения на предприятия. «Мы видели это в Twitter, Facebook* и многих других организациях, где устаревшие процессы или приложения приводят к тому, что пароли в виде открытого текста доступны внутри компании. И даже если доступ только внутренний, он по-прежнему создает серьезную проблему конфиденциальности и безопасности».

* Принадлежит компании Meta, она признана экстремистской организацией в РФ и её деятельность запрещена.