Le password G Suite salvate in chiaro da 14 anni: Google risolve il problema e si scusa

Le password G Suite salvate in chiaro da 14 anni: Google risolve il problema e si scusa

Un bug presente dal 2005 ha permesso di salvare le password in testo semplice. Nessun accesso non autorizzato, ma una brutta figura per una società che si vanta di utilizzare pratiche di sicurezza di riferimento

di pubblicata il , alle 13:21 nel canale Sicurezza
Google
 

Le password degli utenti G Suite di Google sono rimaste salvate in chiaro per almeno 14 anni: è la stessa Big G a comunicarlo con un post ufficiale, dove spiega l'esistenza di un bug in circolazione sin dal 2005 e che ora è stato individuato e risolto.

G Suite è la versione dedicata alle aziende delle app di Google (Gmail, Docs e via dicendo) e il bug è presente solamente in G Suite proprio a causa di una caratteristica progettata in maniera specifica per rispondere alle esigenze cui normalmente si trova a far fronte una azienda nel momento in cui deve gestire gli account di accesso del proprio personale.

Per gli amministratori delle app G Suite era infatti possibile impostare manualmente le password, per esempio per preparare un nuovo account da destinare ad un nuovo impiegato. Il problema è che la password impostata manualmente veniva salvata in chiaro invece che criptata con hash. La funzionalità è stata quindi rimossa. Google si dilunga poi a spiegare i principi delle funzioni di crittografia con hash, per cercare di fare chiarezza sul problema nella maniera più esaustiva possibile.

Google non ha specificato quale possa essere il numero degli utenti toccati dal problema limitandosi ad indicare "un sottoinseme dei clienti enterprise G Suite". E' tuttavia lecito supporre che possano essere interessati potenzialmente tutti coloro i quali hanno usato G Suite dal 2005. La società afferma poi di non avere individuato prove di accesso non autorizzato alle password, e precisa che il file è sempre stato conservato all'interno della propria infrastruttura comunque criptata. Ma non si può comunque avere nessuna certezza su chi abbia avuto effettivamente accesso al file dove le password sono state conservate in chiaro per tutto questo tempo.

Nello stesso post poi viene spiegato un ulteriore problema - anche questo risolto - per il quale da gennaio 2019 alcune password di utenti G Suite restavano salvate in chiaro per un periodo di 14 giorni.

Big G ha quindi disposto il reset delle password e notificato il problema agli amministratori G Suite. E a problema risolto Google fa ammenda: "Consideriamo molto seriamente la sicurezza dei clienti enterprise, e ci fregiamo di essere all'avanguardia nelle best practice del settore per quanto riguarda la sicurezza degli account. Questa volta non abbiamo agito secondo i nostri standard e nemmeno secondo gli standard dei nostri clienti. Facciamo le nostre scuse e opereremo meglio".

35 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Uakko22 Maggio 2019, 13:40 #1
E poi dicono dei cinesi....mah!
LukeIlBello22 Maggio 2019, 13:42 #2
si ok, ma per le password conservate in chiaro nei cookies?
fraussantin22 Maggio 2019, 13:56 #3
ottimo direi!
Axios200622 Maggio 2019, 13:59 #4
LukeIlBello22 Maggio 2019, 14:13 #5
Originariamente inviato da: Axios2006


il gatto e la volpe della ciber security moderna
les222 Maggio 2019, 14:38 #6
certo che se G ed M non riescono ad assolvere questi compiti bene...
siamo a posto.
LukeIlBello22 Maggio 2019, 15:00 #7
Originariamente inviato da: les2
certo che se G ed M non riescono ad assolvere questi compiti bene...
siamo a posto.


che M non vi riesca non c'è da stupirsi, almeno per chi ha qualche annetto sul capo..
pure G cmq non è che stia sto fiore all'occhiello..
purtroppo se si vuole la vera sicurezza bisogna pubblicare i sorgenti
LukeIlBello22 Maggio 2019, 15:30 #8


chi ha parlato di ASSENZA di exploit?
qui si parla di tempistiche di patching e soprattutto di RILEVAMENTO
un bug che dura 15 anni? accettabile magari su un compito in classe di un liceo tecnico
una cosa del genere è impossibile che si verifichi quando miliardi di persone hanno accesso ai sorgenti
nickname8822 Maggio 2019, 15:35 #9
Originariamente inviato da: LukeIlBello
chi ha parlato di ASSENZA di exploit?
qui si parla di tempistiche di patching e soprattutto di RILEVAMENTO


nickname8822 Maggio 2019, 15:39 #10
Originariamente inviato da: emiliano84
Signore e signori questa é da incorniciare, quindi stai dicendo che 9 anni sono accettabili... Eh si perché l'ultimo link parla di 9 anni... Inoltre se vuoi te ne trovo un altro che se non ricordo male è rimasto per almeno 15...

accettabile al liceo, ma impossibile che si verifichi quando migliaia di oersone hanno accesso ai sorgenti (cit)

Hai scoperto l'acqua calda, devi appigliarsi a tutto pur di gettar fango.


Originariamente inviato da: LukeIlBrutto
quando miliardi di persone hanno accesso ai sorgenti

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^