Google pfuschte bei den G-Suite-Passwörtern

22. Mai 2019, 11:59
  • security
  • google
image

Die Policy von Google sei es, Passwörter gehasht zu speichern, schreibt der US-Konzern.

Die Policy von Google sei es, Passwörter gehasht zu speichern, schreibt der US-Konzern. Offenbar aber wurde dies nicht eingehalten. Denn vor Kurzem hat Google einen Teil der G-Suite-Kunden darüber informiert, dass ihre Passwörter im Klartext in internen Systemen gespeichert worden seien.
Hinweise auf Missbrauch gebe es keine und auch die Anwender der kostenlosen Google-Tools seien davon nicht betroffen. Google arbeite mit den betroffenen Unternehmenskunden zusammen, um sicherzustellen, dass sie ihre Passwörter geändert hätten, so die Google-Managerin Suzanne Frey in einem Blogeintrag. "Aus Vorsicht werden wir Konten zurücksetzen, wenn Kunden dies nicht selbst getan haben." Wie viele Unternehmen konkret betroffen sind, gibt Google nicht bekannt.
Das Problem besteht schon seit 2005 und geht auf eine Funktion zurück, die man Administratoren der G-Suite-Accounts zur Verfügung gestellt habe. Mit einem Tool konnten sie in der Admin-Konsole Passwörter für andere User manuell festlegen oder zurücksetzen. "Wir haben bei der Implementierung dieser Funktion bereits im Jahr 2005 einen Fehler gemacht". In der Admin-Konsole wurde eine Kopie des nicht-gehashten Passworts gespeichert. Die Passwörter "blieben aber innerhalb unserer sicheren verschlüsselten Infrastruktur", will Google klargestellt haben.
Google entdeckte den Fehler im April. Während der Untersuchung wurde im Mai dann noch ein weiterer Fehler gefunden. Der zweite Bug habe dazu geführt, dass Passwörter für neue G-Suite-Kunden nach der Anmeldung im Klartext gespeichert wurden. Dieser Bug existiere erst seit 2019 und diese nicht-gehashten Passwörter seien maximal 14 Tage lang gespeichert worden. Beide Probleme seien behoben worden, schreibt Frey. (kjo)

Loading

Mehr zum Thema

image

Google und Youtube investieren, um gegen Fake-News vorzugehen

Der US-Konzern schiesst knapp 13 Millionen Franken in einen Fonds ein, um Faktencheck-Organisationen weltweit zu unterstützen.

publiziert am 29.11.2022
image

NCSC warnt vor neuer Office-365-Phishing-Variante

Der neue Trick scheint noch ausgeklügelter zu sein als bisherige Phishing-Tricks.

publiziert am 29.11.2022
image

Bei Infopro laufen erste Systeme nach Cyber­angriff wieder

Der Berner IT-Dienstleister kann erste Systeme wieder hochfahren und hofft, im Verlauf dieser Woche zum Normal­betrieb zurückkehren zu können.

publiziert am 28.11.2022
image

Cyberangriff auf Infopro trifft auch Gemeinde Messen

Die Solothurner Gemeinde musste ihre Services nach einem Angriff herunterfahren. Derzeit kommuniziert sie über eine provisorische GMX-E-Mail-Adresse.

publiziert am 25.11.2022