News Dettaglio

 Home / News Dettaglio
23 maggio
2019

Le password G Suite salvate in chiaro da 14 anni: Google risolve il problema e si scusa

Un bug presente dal 2005 ha permesso di salvare le password in testo semplice. Nessun accesso non autorizzato, ma una brutta figura per una societÓ che si vanta di utilizzare pratiche di sicurezza di riferimento

Le password degli utenti G Suite di Google sono rimaste salvate in chiaro per almeno 14 anni: è la stessa Big G a comunicarlo con un post ufficiale, dove spiega l'esistenza di un bug in circolazione sin dal 2005 e che ora è stato individuato e risolto.


G Suite è la versione dedicata alle aziende delle app di Google (Gmail, Docs e via dicendo) e il bug è presente solamente in G Suite proprio a causa di una caratteristica progettata in maniera specifica per rispondere alle esigenze cui normalmente si trova a far fronte una azienda nel momento in cui deve gestire gli account di accesso del proprio personale.


Per gli amministratori delle app G Suite era infatti possibile impostare manualmente le password, per esempio per preparare un nuovo account da destinare ad un nuovo impiegato. Il problema è che la password impostata manualmente veniva salvata in chiaro invece che criptata con hash. La funzionalità è stata quindi rimossa. Google si dilunga poi a spiegare i principi delle funzioni di crittografia con hash, per cercare di fare chiarezza sul problema nella maniera più esaustiva possibile.


Google non ha specificato quale possa essere il numero degli utenti toccati dal problema limitandosi ad indicare "un sottoinseme dei clienti enterprise G Suite". E' tuttavia lecito supporre che possano essere interessati potenzialmente tutti coloro i quali hanno usato G Suite dal 2005. La società afferma poi di non avere individuato prove di accesso non autorizzato alle password, e precisa che il file è sempre stato conservato all'interno della propria infrastruttura comunque criptata. Ma non si può comunque avere nessuna certezza su chi abbia avuto effettivamente accesso al file dove le password sono state conservate in chiaro per tutto questo tempo.


Nello stesso post poi viene spiegato un ulteriore problema - anche questo risolto - per il quale da gennaio 2019 alcune password di utenti G Suite restavano salvate in chiaro per un periodo di 14 giorni.


Big G ha quindi disposto il reset delle password e notificato il problema agli amministratori G Suite. E a problema risolto Google fa ammenda: "Consideriamo molto seriamente la sicurezza dei clienti enterprise, e ci fregiamo di essere all'avanguardia nelle best practice del settore per quanto riguarda la sicurezza degli account. Questa volta non abbiamo agito secondo i nostri standard e nemmeno secondo gli standard dei nostri clienti. Facciamo le nostre scuse e opereremo meglio".


fonte: https://www.hwupgrade.it/