Η Google παραδέχθηκε την Τρίτη ότι οι επι πληρωμή εφαρμογές G Suite που απευθύνονται σε επιχειρήσεις, αποθηκεύουν ορισμένους κωδικούς πρόσβασης χρηστών σε plaintext.
Η εταιρεία ενημέρωσε μέσω email τους διαχειριστές λογαριασμών που επηρεάστηκαν από το σφάλμα ασφαλείας, ότι σε ορισμένες περιπτώσεις, οι κωδικοί πρόσβασης δεν είχαν γίνει hashed. Το Hashing είναι μία πρακτική ασφαλείας, που προστατεύει τα διαπιστευτήρια, χρησιμοποιώντας έναν αλγόριθμο κρυπτογράφησης.
Η Google πασχίζει να πείσει τους χρήστες, ότι το σφάλμα αφορά μόνο την επιχειρηματική έκδοση του G Suite και δεν επηρέασε άλλους καταναλωτές, ενώ δήλωσε επίσης ότι δεν υπήρχαν ενδείξεις κατάχρησης των κωδικών πρόσβασης και ότι οι κωδικοί πρόσβασης ήταν κρυπτογραφημένοι.
Ουσιαστικά υπάρχουν δύο προβλήματα ασφαλείας στην υπόθεση. Το πρώτο έχει να κάνει με μια λειτουργία του G Suite διαθέσιμη από το 2005, η οποία επέτρεψε στους διαχειριστές να ορίσουν τους κωδικούς πρόσβασης των χρηστών του G Suite μέσω της κονσόλας admin του λογαριασμού Google. Ωστόσο, παρόλο που έχει σχεδιαστεί για να βοηθήσει τους νέους εργαζομένους σε μια επιχείρηση να ορίσουν τους κωδικούς πρόσβασής τους και να συνδεθούν, δεν εφαρμόζει την πρακτική hashing στους κωδικούς αυτούς.
Το δεύτερο πρόβλημα, έγκειται στην καταγραφή ορισμένων κωδικών πρόσβασης χρηστών σε πλατφόρμες και στην διατήρηση αυτών των διαπιστευτηρίων για περίπου 14 ημέρες κάθε φορά και πάλι χωρίς να έχει γίνει hashing. Αυτή η πρακτική ξεκίνησε τον Ιανουάριο του τρέχοντος έτους, κατά τη διάρκεια προσπαθειών από τους υπαλλήλους της Google να αντιμετωπίσουν προβλήματα του συστήματος σύνδεσης και έχει σταματήσει.
Εκπρόσωπος της εταιρείας δήλωσε ότι και τα δύο αυτά προβλήματα έχουν διευθετηθεί.
Η διαδικασία του hashing εφαρμόζεται έτσι ώστε αν κάποιος εισβάλει παράνομα σε έναν sever, να μην μπορέσει να αποκτήσει τα διαπιστευτήρια σύνδεσης των ανθρώπων: οι κωδικοί πρόσβασης κρυπτογραφούνται με τέτοιο τρόπο ώστε οι κακόβουλοι παράγοντες δεν μπορούν να καταλάβουν ποιοι είναι οι πρωτότυποι και δεν μπορούν να τους χρησιμοποιήσουν για να συνδεθούν σε άλλες υπηρεσίες ή πλατφόρμες.
Σε αυτή την περίπτωση οι κωδικοί δεν είχαν γίνει hashed, επομένως ήταν ευάλωτοι, σε περίπτωση που ένας ικανός hacker ή ακόμα και κάποιος υπάλληλος της εταιρείας προσπαθούσε να τους υποκλέψει.
Από σήμερα η Google θα ξεκινήσει να αλλάζει κωδικούς πρόσβασης για λογαριασμούς που έχουν επηρεαστεί και οι οποίοι δεν το έχουν ήδη αλλάξει.
