Προσθήκη σχολίου (31 σχόλια)

Η Google έκανε γνωστό, μέσω σχετικής ανάρτησης στο επίσημο blog της, ότι οι κωδικοί πρόσβασης ορισμένων χρηστών της G Suite εδώ και δεκατέσσερα χρόνια βρίσκονταν αποθηκευμένοι σε απλό κείμενο (plain text) εξαιτίας ενός bug.

Όπως αναφέραμε, το bug υπάρχει από το 2005, αλλά η Google υποστηρίζει ότι δεν εντόπισε στοιχεία ότι κάποιος απέκτησε μη εγκεκριμένη πρόσβαση στη βάση δεδομένων στους διακομιστές της ή ότι χρησιμοποίησε τους κωδικούς.

Η εταιρεία λέει πως προχώρησε στην επαναφορά των κωδικών και ειδοποίησε τους διαχειριστές της G Suite για το πρόβλημα. Η G Suite όπως είναι γνωστό είναι η επαγγελματική έκδοση του Gmail και άλλων εφαρμογών της Google, και το bug, που δεν επηρεάζει τους απλούς χρήστες, προέρχεται από ένα χαρακτηριστικό που αφορά την έκδοση που έχει σχεδιαστεί ειδικά για εταιρείες. Στις αρχές, ήταν δυνατό για τον διαχειριστή του τμήματος IT μίας εταιρείας που ήταν υπεύθυνος για την G Suite να ορίζει τους κωδικούς πρόσβασης των χρηστών (υπαλλήλων) μίας εταιρείας χειροκίνητα –π.χ στην περίπτωση ενός υπαλλήλου που προσελήφθη πρόσφατα- και εφόσον το έκανε, η κονσόλα διαχείρισης αποθήκευε τον κωδικό ή τους κωδικούς πρόσβασης σε απλό κείμενο αντί να χρησιμοποιηθεί κατακερματισμός (hashing). Αυτή η δυνατότητα, δεν είναι πια στην διάθεση των διαχειριστών.

Τουλάχιστον οι κωδικοί που βρίσκονταν σε μορφή κειμένου ήταν αποθηκευμένοι σε διακομιστές της Google και όχι κάπου αλλού στο Internet και επομένως η μη εγκεκριμένη πρόσβαση σε αυτούς θα ήταν κάτι το ιδιαίτερα δύσκολο. Επιπλέον, η Google έκανε σαφές ότι οι κωδικοί δεν διέρρευσαν όπως έχει συμβεί σε περιπτώσεις άλλων εταιρειών. Η Google δεν έκανε γνωστό τον αριθμό των πελατών της που επηρεάστηκαν από το bug και περιορίστηκε στο να δηλώσει ότι επηρεάστηκε «ένα υποσύνολο των επιχειρησιακών πελατών της G Suite» -υποθέτουμε οποιοσδήποτε πελάτης χρησιμοποιεί την G Suite από το 2005.

Η εταιρεία πάντως τώρα έχει διορθώσει το πρόβλημα. «Λαμβάνουμε σοβαρά υπόψη την ασφάλεια των επιχειρησιακών πελατών μας και είμαστε υπερήφανοι που έχουμε βοηθήσει στην προώθηση των βέλτιστων πρακτικών της βιομηχανίας για την ασφάλεια λογαριασμών. Στην συγκεκριμένη περίπτωση δεν ανταποκριθήκαμε στα δικά μας πρότυπα, ούτε σε αυτά των πελατών μας. Ζητούμε συγγνώμη από τους χρήστες μας και θα γίνουμε καλύτεροι» διαβάζουμε στην ανάρτηση της εταιρείας.

The Verge

  • Sad 1