Google pfuschte bei den G-Suite-Passwörtern

22. Mai 2019, 11:59
  • security
  • google
image

Die Policy von Google sei es, Passwörter gehasht zu speichern, schreibt der US-Konzern.

Die Policy von Google sei es, Passwörter gehasht zu speichern, schreibt der US-Konzern. Offenbar aber wurde dies nicht eingehalten. Denn vor Kurzem hat Google einen Teil der G-Suite-Kunden darüber informiert, dass ihre Passwörter im Klartext in internen Systemen gespeichert worden seien.
Hinweise auf Missbrauch gebe es keine und auch die Anwender der kostenlosen Google-Tools seien davon nicht betroffen. Google arbeite mit den betroffenen Unternehmenskunden zusammen, um sicherzustellen, dass sie ihre Passwörter geändert hätten, so die Google-Managerin Suzanne Frey in einem Blogeintrag. "Aus Vorsicht werden wir Konten zurücksetzen, wenn Kunden dies nicht selbst getan haben." Wie viele Unternehmen konkret betroffen sind, gibt Google nicht bekannt.
Das Problem besteht schon seit 2005 und geht auf eine Funktion zurück, die man Administratoren der G-Suite-Accounts zur Verfügung gestellt habe. Mit einem Tool konnten sie in der Admin-Konsole Passwörter für andere User manuell festlegen oder zurücksetzen. "Wir haben bei der Implementierung dieser Funktion bereits im Jahr 2005 einen Fehler gemacht". In der Admin-Konsole wurde eine Kopie des nicht-gehashten Passworts gespeichert. Die Passwörter "blieben aber innerhalb unserer sicheren verschlüsselten Infrastruktur", will Google klargestellt haben.
Google entdeckte den Fehler im April. Während der Untersuchung wurde im Mai dann noch ein weiterer Fehler gefunden. Der zweite Bug habe dazu geführt, dass Passwörter für neue G-Suite-Kunden nach der Anmeldung im Klartext gespeichert wurden. Dieser Bug existiere erst seit 2019 und diese nicht-gehashten Passwörter seien maximal 14 Tage lang gespeichert worden. Beide Probleme seien behoben worden, schreibt Frey. (kjo)

Loading

Mehr zum Thema

image

Die Schatten-IT ins Licht setzen

Leuchten Sie die Schatten-IT in Ihrem Unternehmen bis in den letzten Winkel aus und schaffen Sie Transparenz über alle Ihre IT-Systeme, -Anwendungen und -Prozesse.

image

Jetzt hat ein grosser Krypto-Hack Harmony getroffen

Hacker haben Coins im Wert von rund 100 Millionen Dollar aus einem Schlüsselprodukt der US-Kryptofirma gestohlen.

publiziert am 24.6.2022
image

NCSC mahnt: Bitte keine Privatgeräte im Homeoffice

Der Zugriff aufs Firmennetzwerk mit privaten Geräten ist mit erheblichen Risiken verbunden. Das zeigt ein aktueller Ransomware-Angriff.

publiziert am 24.6.2022 6
image

Bericht zeigt russische Cyber­aktivitäten seit Kriegs­beginn

Mit dem russischen Angriffskrieg gehen massive Cyber­kampagnen einher. Diese betreffen die Ukraine, aber auch weitere Länder, darunter die Schweiz, zeigt ein Report.

publiziert am 23.6.2022