Le password G Suite salvate in chiaro da 14 anni: Google risolve il problema e si scusa

Le password G Suite salvate in chiaro da 14 anni: Google risolve il problema e si scusa

Un bug presente dal 2005 ha permesso di salvare le password in testo semplice. Nessun accesso non autorizzato, ma una brutta figura per una società che si vanta di utilizzare pratiche di sicurezza di riferimento

di pubblicata il , alle 13:21 nel canale Sicurezza
Google
 

Le password degli utenti G Suite di Google sono rimaste salvate in chiaro per almeno 14 anni: è la stessa Big G a comunicarlo con un post ufficiale, dove spiega l'esistenza di un bug in circolazione sin dal 2005 e che ora è stato individuato e risolto.

G Suite è la versione dedicata alle aziende delle app di Google (Gmail, Docs e via dicendo) e il bug è presente solamente in G Suite proprio a causa di una caratteristica progettata in maniera specifica per rispondere alle esigenze cui normalmente si trova a far fronte una azienda nel momento in cui deve gestire gli account di accesso del proprio personale.

Per gli amministratori delle app G Suite era infatti possibile impostare manualmente le password, per esempio per preparare un nuovo account da destinare ad un nuovo impiegato. Il problema è che la password impostata manualmente veniva salvata in chiaro invece che criptata con hash. La funzionalità è stata quindi rimossa. Google si dilunga poi a spiegare i principi delle funzioni di crittografia con hash, per cercare di fare chiarezza sul problema nella maniera più esaustiva possibile.

Google non ha specificato quale possa essere il numero degli utenti toccati dal problema limitandosi ad indicare "un sottoinseme dei clienti enterprise G Suite". E' tuttavia lecito supporre che possano essere interessati potenzialmente tutti coloro i quali hanno usato G Suite dal 2005. La società afferma poi di non avere individuato prove di accesso non autorizzato alle password, e precisa che il file è sempre stato conservato all'interno della propria infrastruttura comunque criptata. Ma non si può comunque avere nessuna certezza su chi abbia avuto effettivamente accesso al file dove le password sono state conservate in chiaro per tutto questo tempo.

Nello stesso post poi viene spiegato un ulteriore problema - anche questo risolto - per il quale da gennaio 2019 alcune password di utenti G Suite restavano salvate in chiaro per un periodo di 14 giorni.

Big G ha quindi disposto il reset delle password e notificato il problema agli amministratori G Suite. E a problema risolto Google fa ammenda: "Consideriamo molto seriamente la sicurezza dei clienti enterprise, e ci fregiamo di essere all'avanguardia nelle best practice del settore per quanto riguarda la sicurezza degli account. Questa volta non abbiamo agito secondo i nostri standard e nemmeno secondo gli standard dei nostri clienti. Facciamo le nostre scuse e opereremo meglio".

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

42 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Uakko22 Maggio 2019, 13:40 #1
E poi dicono dei cinesi....mah!
LukeIlBello22 Maggio 2019, 13:42 #2
si ok, ma per le password conservate in chiaro nei cookies?
emiliano8422 Maggio 2019, 13:45 #3
per fortuna uso gmail solo per lo spam
fraussantin22 Maggio 2019, 13:56 #4
ottimo direi!
Axios200622 Maggio 2019, 13:59 #5
emiliano8422 Maggio 2019, 14:01 #6
Originariamente inviato da: Axios2006


proprio non riesci a non tirare in mezzo MS pur di difendere google, questa news e' gia' stata commentata su HWU

giusto per completezza

"This unauthorized access could have allowed unauthorized parties to access and/or view information related to your email account (such as your e-mail address, folder names, the subject lines of e-mails, and the names of other e-mail addresses you communicate with), but not the content of any e-mails or attachments."

"It is important to note that your login credentials were not directly impacted by this incident."

inoltre se non ricordo male, non ha avuto impatti sui clienti business
LukeIlBello22 Maggio 2019, 14:13 #7
Originariamente inviato da: Axios2006


il gatto e la volpe della ciber security moderna
les222 Maggio 2019, 14:38 #8
certo che se G ed M non riescono ad assolvere questi compiti bene...
siamo a posto.
LukeIlBello22 Maggio 2019, 15:00 #9
Originariamente inviato da: les2
certo che se G ed M non riescono ad assolvere questi compiti bene...
siamo a posto.


che M non vi riesca non c'è da stupirsi, almeno per chi ha qualche annetto sul capo..
pure G cmq non è che stia sto fiore all'occhiello..
purtroppo se si vuole la vera sicurezza bisogna pubblicare i sorgenti

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^