Η Google ανακοίνωσε ότι έχει αποθηκεύσει κατά λάθος κωδικούς πρόσβασης χωρίς προστασία σε αρχείο απλού κειμένου, ένα θέμα ασφάλειας που χρονολογείται εδώ και 14 χρόνια. Η εταιρία υποστηρίζει ότι το θέμα αυτό αφορά ένα μικρό ποσοστό χρηστών της G Suite, πράγμα που σημαίνει ότι δεν επηρεάζει μεμονωμένους λογαριασμούς χρηστών, αλλά επηρεάζει ορισμένους επιχειρηματικούς και εταιρικούς λογαριασμούς, οι οποίοι έχουν τους δικούς τους κινδύνους και ευαισθησίες. Η εταιρεία συνήθως αποθηκεύει κωδικούς πρόσβασης στους διακομιστές της, σε μια κρυπτογραφικά κωδικοποιημένη κατάσταση που είναι γνωστή ως hash.

Η αντιπρόεδρος του γίγαντα της τεχνολογίας Suzanne Frey, εξήγησε ότι το πρόβλημα προέκυψε όταν εισήγαγε έναν νέο τρόπο για τους διαχειριστές G Suite να φορτώνουν και να ορίζουν νέους κωδικούς πρόσβασης για τους υπαλλήλους τους, ώστε να τους βοηθούν στην ανάκτηση ενός λογαριασμού. «Κάναμε ένα λάθος κατά την εφαρμογή αυτής της λειτουργίας το 2005: Η κονσόλα διαχείρισης αποθήκευσε ένα αντίγραφο του κωδικού πρόσβασης, μια πρακτική που δεν ανταποκρινόταν στα πρότυπά μας», είπε χαρακτηριστικά η Suzanne Frey και πρόσθεσε: «Για να γίνω πιο σαφής, αυτοί οι κωδικοί πρόσβασης παρέμειναν στην ασφαλή κρυπτογραφημένη υποδομή μας. Το ζήτημα αυτό έχει πλέον διορθωθεί και δεν έχουμε δει καμία ένδειξη ακατάλληλης πρόσβασης, ή κατάχρησης των κωδικών πρόσβασης που επηρεάζονται».

Η ομάδα της Suzanne Frey έχει επίσης εντοπίσει ένα ξεχωριστό αλλά παρόμοιο ζήτημα ασφάλειας, το οποίο χρονολογείται από τις αρχές του τρέχοντος έτους. «Καθώς ελέγχαμε τις νέες ροές εγγραφών πελατών της G Suite, ανακαλύψαμε ότι ξεκινώντας από τον Ιανουάριο του 2019 αποθηκεύσαμε κατά λάθος ένα υποσύνολο μη κωδικοποιημένων κωδικών πρόσβασης στην ασφαλή κρυπτογραφημένη υποδομή μας», εξήγησε. Και πρόσθεσε, ότι «αυτοί οι κωδικοί πρόσβασης αποθηκεύτηκαν για μέγιστο διάστημα 14 ημερών. Και το ζήτημα αυτό έχει πλέον διορθωθεί, χωρίς να έχουμε εντοπίσει κανένα στοιχείο ακατάλληλης πρόσβασης ή κατάχρησης που επηρεάζουν τους κωδικούς πρόσβασης. Θα συνεχίσουμε να εκτελούμε ελέγχους ασφαλείας, ώστε να διασφαλίσουμε ότι πρόκειται για μεμονωμένο περιστατικό».

Όλοι οι διαχειριστές της G Suite που επηρεάζονται από αυτά τα ζητήματα έχουν ενημερωθεί και η Google δήλωσε ότι θα επαναφέρει τους κωδικούς πρόσβασης σε οποιονδήποτε επηρεασμένο λογαριασμό, όπου δεν έχουν ήδη ληφθεί μέτρα. Το Facebook, το Twitter και το GitHub έχουν παραδεχθεί ότι αποθηκεύουν κωδικούς πρόσβασης χρηστών σε απλό κείμενο κατά το παρελθόν. Στην περίπτωση μάλιστα του Facebook, εκατοντάδες εκατομμύρια χρήστες πιστεύεται ότι έχουν επηρεαστεί.

του Χάρη Ματθαίου