Google har måttet melde seg inn i klubben over store IT-aktører som ikke alltid har vært i stand å ta vare på brukerne passord på en sikker måte. I går fortalte selskapet i et blogginnlegg at passordene til en del av selskapets G Suite-kunder har blitt lagret i klartekst i Googles interne, krypterte systemer. Normalt er det kun en kryptografisk hash av passordet som skal lagres.
Det er altså kun G Suite-kontoer – ikke vanlige, gratis Google-kontoer – som er berørt.
Feil i gammelt verktøy
Passordene som har blitt lagret i klartekst, har blitt lastet opp eller skrevet inn av domeneadministratorer hos kundene i forbindelse med klargjøring av nye brukerkontoer i et verktøy hvor det var mulig å både sette nye passordet og å hente fram eksisterende.
_logo.svg.png){kind=logo}
Ifølge Google er dette funksjonalitet som ble fjernet for lenge siden, men da funksjonaliteten ble implementert i 2005, ble det gjort en feil slik at administratorkonsollen også lagret en kopi av det ikke-hashede passordet.
Som nevnt har disse passordene blitt lagret i et kryptert område. Google har ikke sett noe tegn til at uvedkommende har fått tilgang til disse eller til at passordene har blitt misbrukt. Feilen skal nå være rettet.
Google har ikke oppgitt hvor mange som har vært berørt av dette. Men samtlige berørte administratorer skal ha blitt varslet.
Nytt tilfelle
I det samme blogginnlegget oppgir Google at selskapet i forbindelse med feilsøking i G Suite relativt nylig oppdaget at selskapet fra januar 2019 ved en feil også har lagret noen andre brukerpassord. Også dette var i den sikre, krypterte infrastrukturen. Disse passordene skal ikke ha blitt lagret i mer enn 14 dager.
Også skal feilen ha blitt rettet, uten at det har vært noen tegn til at passordene har blitt misbrukt.
Google ba nylig alle berørte administratorer å endre de berørte passordene. Google kommer til å resette kontoene til dem som ikke har gjort dette.
Google skriver at selskapet i disse tilfellene ikke har levd opp til verken selskapets egne eller kundenes standarder for kontosikkerhet. Selskapet beklager og lover å gjøre dette bedre i framtiden.
Ikke alene
Som antydet i starten av artikkelen, er Google langt fra det eneste teknologiselskapet som har gjort en slik brøler. Ingen har vel glemt at det i mars ble kjent at Facebook har lagret passordene til mange millioner brukere i klartekst – passord som mange tusen ansatte potensielt hadde tilgang til.
I mai i fjor ble det kjent at Twitter mellomlagret brukernes passord i klartekst i en intern logg, uten å slette dem etter at passordene var blitt hashet. Denne loggen var tilgjengelig for ansatte i selskapet.
I fjor ble det også kjent at GitHub hadde lagret brukerpassord i klartekst. Det skal ha dreid seg om «et mindre antall» brukere.
