Google хранила некоторые пароли в текстовых файлах в течение 14 лет

В своем блоге Google сообщила о недавно обнаруженной ошибке, в результате которой пароли некоторых пользователей G Suite хранились в незашифрованном виде внутри простых текстовых файлов. Эта ошибка существует с 2005 года. Впрочем, Google утверждает, что не может найти никаких доказательств, что какой-либо из этих паролей попал в руки злоумышленников или был неправомерно использован. Тем не менее, компания сбросит все пароли, которые могут быть затронуты, и сообщит администраторам G Suite о проблеме.

G Suite представляет собой корпоративную версию Gmail и других приложений Google, и, очевидно, ошибка возникла в этом продукте из-за функции, разработанной специально для предприятий. Вначале работы сервиса администратор компании мог использовать приложения G Suite для установки паролей пользователей вручную: скажем, до того, как в систему вступил новый сотрудник. Если он пользовался этой возможностью, консоль администратора сохраняла такие пароли в виде простого текста вместо их хеширования. Позже Google отняла у администраторов эту возможность, но пароли так и остались в текстовых файлах.

В своей публикации Google старательно объясняет, как работает криптографическое хеширование, чтобы были ясны нюансы, связанные с ошибкой. Хотя пароли хранились в открытом виде, они находились на серверах Google, поэтому получить доступ к ним сторонние лица могли лишь путем взлома серверов (если они не являлись сотрудниками Google).

Google не сообщила количество потенциально затронутых пользователей, отметив лишь, что речь идет о «подмножестве корпоративных клиентов G Suite» — вероятно, любого, кто использовал G Suite в 2005 году. И хотя Google не смогла найти свидетельств, что кто-то использовал этот доступ злонамеренно, не совсем понятно, кто мог иметь доступ к этим текстовым файлам.

В любом случае, проблема уже исправлена, и Google выразила сожаление в своей публикации о проблеме: «Мы очень серьезно относимся к безопасности наших корпоративных клиентов и гордимся тем, что продвигаем лучшие в отрасли методы обеспечения безопасности учетных записей. В данном случае мы не соответствовали ни нашим стандартам, ни нашим клиентам. Приносим извинения пользователям и обещаем в будущем стать лучше».