Google pfuschte bei den G-Suite-Passwörtern

Die Policy von Google sei es, Passwörter gehasht zu speichern, schreibt der US-Konzern. Offenbar aber wurde dies nicht eingehalten. Denn vor Kurzem hat Google einen Teil der G-Suite-Kunden darüber informiert, dass ihre Passwörter im Klartext in internen Systemen gespeichert worden seien.Hinweise auf Missbrauch gebe es keine und auch die Anwender der kostenlosen Google-Tools seien davon nicht betroffen. Google arbeite mit den betroffenen Unternehmenskunden zusammen, um sicherzustellen, dass sie ihre Passwörter geändert hätten, so die Google-Managerin Suzanne Frey in einem Blogeintrag. "Aus Vorsicht werden wir Konten zurücksetzen, wenn Kunden dies nicht selbst getan haben." Wie viele Unternehmen konkret betroffen sind, gibt Google nicht bekannt.Das Problem besteht schon seit 2005 und geht auf eineFunktion zurück, die man Administratoren der G-Suite-Accounts zur Verfügung gestellt habe. Mit einem Tool konnten sie in der Admin-Konsole Passwörter für andere User manuell festlegen oder zurücksetzen. "Wir haben bei der Implementierung dieser Funktion bereits im Jahr 2005 einen Fehler gemacht". In der Admin-Konsole wurde eine Kopie des nicht-gehashten Passworts gespeichert. Die Passwörter "blieben aber innerhalb unserer sicheren verschlüsselten Infrastruktur", will Google klargestellt haben.Google entdeckte den Fehler im April. Während der Untersuchung wurde im Mai dann noch ein weiterer Fehler gefunden. Der zweite Bug habe dazu geführt, dass Passwörter für neue G-Suite-Kunden nach der Anmeldung im Klartext gespeichert wurden. Dieser Bug existiere erst seit 2019 und diese nicht-gehashten Passwörter seien maximal 14 Tage lang gespeichert worden. Beide Probleme seien behoben worden, schreibt Frey. (kjo)