Le password G Suite salvate in chiaro da 14 anni: Google risolve il problema e si scusa
Un bug presente dal 2005 ha permesso di salvare le password in testo semplice. Nessun accesso non autorizzato, ma una brutta figura per una società che si vanta di utilizzare pratiche di sicurezza di riferimento
di Andrea Bai pubblicata il 22 Maggio 2019, alle 13:21 nel canale SicurezzaLe password degli utenti G Suite di Google sono rimaste salvate in chiaro per almeno 14 anni: è la stessa Big G a comunicarlo con un post ufficiale, dove spiega l'esistenza di un bug in circolazione sin dal 2005 e che ora è stato individuato e risolto.
G Suite è la versione dedicata alle aziende delle app di Google (Gmail, Docs e via dicendo) e il bug è presente solamente in G Suite proprio a causa di una caratteristica progettata in maniera specifica per rispondere alle esigenze cui normalmente si trova a far fronte una azienda nel momento in cui deve gestire gli account di accesso del proprio personale.
Per gli amministratori delle app G Suite era infatti possibile impostare manualmente le password, per esempio per preparare un nuovo account da destinare ad un nuovo impiegato. Il problema è che la password impostata manualmente veniva salvata in chiaro invece che criptata con hash. La funzionalità è stata quindi rimossa. Google si dilunga poi a spiegare i principi delle funzioni di crittografia con hash, per cercare di fare chiarezza sul problema nella maniera più esaustiva possibile.
Google non ha specificato quale possa essere il numero degli utenti toccati dal problema limitandosi ad indicare "un sottoinseme dei clienti enterprise G Suite". E' tuttavia lecito supporre che possano essere interessati potenzialmente tutti coloro i quali hanno usato G Suite dal 2005. La società afferma poi di non avere individuato prove di accesso non autorizzato alle password, e precisa che il file è sempre stato conservato all'interno della propria infrastruttura comunque criptata. Ma non si può comunque avere nessuna certezza su chi abbia avuto effettivamente accesso al file dove le password sono state conservate in chiaro per tutto questo tempo.
Nello stesso post poi viene spiegato un ulteriore problema - anche questo risolto - per il quale da gennaio 2019 alcune password di utenti G Suite restavano salvate in chiaro per un periodo di 14 giorni.
Big G ha quindi disposto il reset delle password e notificato il problema agli amministratori G Suite. E a problema risolto Google fa ammenda: "Consideriamo molto seriamente la sicurezza dei clienti enterprise, e ci fregiamo di essere all'avanguardia nelle best practice del settore per quanto riguarda la sicurezza degli account. Questa volta non abbiamo agito secondo i nostri standard e nemmeno secondo gli standard dei nostri clienti. Facciamo le nostre scuse e opereremo meglio".
Le soluzioni FSP per il 2026: potenza e IA al centro
AWS annuncia European Sovereign Cloud, il cloud sovrano per convincere l'Europa
Redmi Note 15 Pro+ 5G: autonomia monstre e display luminoso, ma il prezzo è alto
Disastro Williams: la FW48 non supera l'omologazione del telaio, salta i test di Barcellona
Un hotel italiano fa incetta di recensioni a 5 stelle: merito di Arc Riders
OnePlus Nord 5 in super offerta su Amazon: top di gamma 'flagship killer' con 12GB + 512GB a prezzo minimo
L'innovazione in tournée: arrivano gli Innovation Meetup, si parte da Milano
Addio al caos dei gruppi Whatsapp: arriva la cronologia dei messaggi per i nuovi membri
Il nuovo chip a 2 nm di Samsung si mostra in un nuovo benchmark che mette alla prova la GPU
IBM Enterprise Advantage: consulenza personalizzata per sviluppare applicazioni di IA aziendali
Samsung celebra Milano Cortina 2026 con la campagna “Victory Is a Team Sport”
Aritmie cardiache, cresce il numero di casi scoperti grazie agli smartwatch
Rinviato il secondo lancio del razzo spaziale europeo Isar Aerospace Spectrum a causa di un problema tecnico
iPhone 18 Pro: Dynamic Island più piccola del 35% rispetto al modello precedente
Pazzesco successo di Xiaomi: la nuova SU7 ha già 100.000 ordini, negozi con più di 400 ciascuno
Il terzo lancio del razzo spaziale Blue Origin New Glenn porterà in orbita il satellite di AST SpaceMobile
Tesla toglie la componente umana dai Robotaxi ad Austin: ora Musk punta al 'tutto senza supervisione' negli USA
35 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infohttps://nakedsecurity.sophos.com/20...-were-breached/
https://nakedsecurity.sophos.com/20...-were-breached/
il gatto e la volpe della ciber security moderna
siamo a posto.
siamo a posto.
che M non vi riesca non c'è da stupirsi, almeno per chi ha qualche annetto sul capo..
pure G cmq non è che stia sto fiore all'occhiello..
purtroppo se si vuole la vera sicurezza bisogna pubblicare i sorgenti
https://www.computerworld.com/artic...or-patches.html
https://www.stimulustech.com/2019/0...-system-access/
https://www.zdnet.com/article/new-s...nd-bsd-distros/
https://www.theguardian.com/technol...fter-nine-years
chi ha parlato di ASSENZA di exploit?
qui si parla di tempistiche di patching e soprattutto di RILEVAMENTO
un bug che dura 15 anni? accettabile magari su un compito in classe di un liceo tecnico
una cosa del genere è impossibile che si verifichi quando miliardi di persone hanno accesso ai sorgenti
qui si parla di tempistiche di patching e soprattutto di RILEVAMENTO
accettabile al liceo, ma impossibile che si verifichi quando migliaia di oersone hanno accesso ai sorgenti (cit)
Hai scoperto l'acqua calda, devi appigliarsi a tutto pur di gettar fango.
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".