Google sloeg sommige G Suite-wachtwoorden op als plaintext

Google sloeg een deel van de wachtwoorden van G Suite-gebruikers per ongeluk op als plaintext. De fout die dit veroorzaakte trof volgens de internetgigant een “klein percentage van G Suite-gebruikers”, meldt Wired. De functies met de fout zijn inmiddels uitgeschakeld. 

Google slaat wachtwoorden normaal gesproken in een cryptografische staat die bekend staat als een hash op op zijn servers. Een fout in de wachtwoordherstelfunctie voor administrators in G Suite zorgde er echter voor dat onbeschermde wachtwoorden werden opgeslagen in de infrastructuur van een controlepaneel, genaamd het admin console.

De wachtwoorden waren daardoor toegankelijk voor geautoriseerd Google-personeel, kwaadwillenden die in de infrastructuur wisten binne te komen en de administrators van bedrijven en organisaties. Deze laatsten zouden alleen bij de plaintext-wachtwoorden kunnen komen van accounts binnen hun eigen groepen.

De fout bestaat al sinds 2005, een jaar voor Google for Work een officieel product werd. Het bedrijf benadrukt geen bewijs te hebben dat de plaintext-wachtwoorden ooit zijn geopend of misbruikt.

Meerdere lagen beveiliging

“Ons authenticatiesysteem werkt met veel lagen van bescherming naast het wachtwoord, en we stellen meerdere automatische systemen in die malafide inlogpogingen blokkeren, zelfs als de aanvaller het wachtwoord weet”, vertelt vice president of engineering Suzanne Frey.

“Daarnaast geven we G Suite-administrators meerdere tweestapsverificatie-opties. We nemen de beveiliging van onze enterprise-klanten erg serieus, en zijn trots op het verder brengen van de best practices in de industrie voor accountbeveiliging. Hier voldeden we echter niet aan onze eigen standaarden.”

Google is G Suite-administrators op de hoogte aan het stellen van het probleem. Ook zegt het bedrijf automatisch alle getroffen wachtwoorden die nog niet veranderd zijn, te resetten.

Tweede fout

Google ontdekte de fout in april. In mei ontdekte het bedrijf echter nog een plaintext-wachtwoordfout tijdens zijn onderzoek. De tweede fout sloeg wachtwoorden van nieuwe G Suite-klanten op als plaintext nadat ze hun aanmelding hadden voltooid. Deze fout bestond pas sinds januari 2019. De onbeveiligde wachtwoorden werden daarnaast maximaal veertien dagen opgeslagen.

Google stelt beide fouten te hebben opgelost.