Google on salvestanud mõned paroolid lihtsas tekstis alates 2005. aastast


See juhtus uuesti: Google teatas täna, et see on uusim tehnoloogia hiiglane, kes on kogemata salvestanud kasutajate paroole kaitsmata lihtsas tekstis. G Suite'i kasutajad pööravad tähelepanu.

Google ütleb, et viga mõjutas "väikest protsenti G Suite'i kasutajatest", mis tähendab, et see ei mõjuta üksikuid tarbijakontosid, kuid mõjutab mõningaid ettevõtte ja ettevõtte kontosid, millel on oma riskid ja tundlikkus. Ettevõte salvestab paroolid oma serverites tavaliselt krüptograafiliselt segipaisatud olekus, mida nimetatakse hashiks. Kuid vigu G Suite'i paroolide taastamise funktsioonis administraatoritele põhjustas kaitsmata paroolide salvestamise juhtpaneeli infrastruktuuri, mida nimetatakse admin konsooliks. Google on keelanud vead sisaldanud funktsioonid.

Enne seda oleksid paroolid olnud kättesaadavad volitatud Google'i töötajatele või pahatahtlikele interlopersidele. Iga organisatsiooni administraator oleks võinud oma grupi kontoomanike jaoks kasutada ka lihtteksti paroole.

"Asjaolu, et see oli alates 2005. aastast ja ei olnud püütud, on häiriv."

David Kennedy, TrustedSec

Twitter ja Facebook on viimase 18 kuu jooksul tegelenud omaenda lihtteksti paroolivigadega. Kuid kui need kaks ettevõtjat jõudsid järeldusele, et kasutaja paroole ei ole vaja automaatselt nullida, võtab Google sammu "ettevaatuse hulgast välja". Sel ajal ei kommenteerinud Twitter, kui kaua ta oli kasutajate paroole lihtsas tekstis säilitanud. Facebooki viga pärineb 2012. aastast.

Vahepeal on Google'i viga eksisteerinud alates 2005. aastast – aasta enne seda, kui "Google For Work" sai isegi ametlikuks pakkumiseks. Ja kuigi ettevõte rõhutab, et tal puuduvad tõendid selle kohta, et lihtteksti paroole oleks kunagi kasutatud või kuritarvitatud, siis 14 aastat on tundlikel andmetel pikka aega märkamatuks jääda.

"Meie autentimissüsteemid töötavad parooli ületavate kaitsekihtidega ning kasutame arvukaid automaatseid süsteeme, mis blokeerivad pahatahtliku sisselogimise katsed isegi siis, kui ründaja parooli teab," kirjutas Google'i inseneri asepresident Suzanne Frey blogipostile. "Lisaks pakume G Suite'i administraatoritele mitmeid kaheastmelise kinnitamise (2SV) valikuid. … Me võtame oma ettevõtte klientide turvalisuse väga tõsiselt ja oleme uhked, et edendada tööstuse parimaid tavasid konto turvalisuse tagamiseks. ei vasta meie enda standarditele. "

Google teavitab G Suite'i administraatoreid ja ütleb, et ta lähtestab automaatselt ka kõik muudetud paroolid. Ettevõte avastas vea aprillis ja täiendava lihtteksti parooli vea oma uurimise käigus mais. Viimane salvestas kogemata uute G Suite'i klientide jaoks lihtteksti paroolid, kui nad oma registreerumise lõpetasid. See viga jõustus alles 2019. aasta jaanuaris ja neid paroole, mida ei kasutatud, säilitati ainult maksimaalselt 14 päeva. Google ütleb, et ta on fikseerinud nii peamise admin konsooli lihtteksti vea kui ka uuema sisselogimisvoo probleemi.

"Google'il on tavaliselt korralikud tulemused vead kiirete püüdmise ja nende kõrvaldamise kohta, nii et asjaolu, et see oli umbes alates 2005. aastast ja ei olnud püütud, on segadust tekitav," ütleb David Kennedy, ettevõtte tungivuse testimise ettevõtte TrustedSeci tegevjuht. "Oleme seda näinud Twitteris, Facebookis ja mitmetes teistes organisatsioonides, kus pärandprotsessid või rakendused põhjustavad selget teksti paroolide sattumist sisemisse. Ja isegi kui see on ainult sisemine, tekitab see siiski olulist privaatsust ja turvalisust."

Kuna kõik mõjutatud paroolid, mida pole veel muudetud, lähtestab Google automaatselt, peate keskenduma kahe teguri autentimise lisamisele oma G Suite'i kontole, kui teil seda veel pole – ja võib-olla ületada oma sõrmed, et need paroolid 14 aasta jooksul märkamata.


Suuremad WIREDi lood