Google bewaarde G Suite-wachtwoorden 14 jaar lang onversleuteld

Google heeft recent een 14 jaar oude bug ontdekt, waardoor een deel van de wachtwoorden van G Suite-gebruikers sinds 2005 onversleuteld bewaard werden. De wachtwoorden worden gereset, maar het bedrijf benadrukt dat het geen bewijs van misbruik heeft gevonden. 

De bug is gerelateerd aan een specifieke zakelijke functie van G Suite. Vroeger konden IT-beheerders handmatig wachtwoorden instellen voor nieuwe gebruikers. Die wachtwoorden werden vervolgens in plain text opgeslagen in de beheerdersconsole in plaats van ze te hashen. Google erkent dat het hier in de fout is gegaan en heeft de functionaliteit verwijderd.

“Dit is een G Suite-probleem dat alleen van invloed is op zakelijke gebruikers – er zijn geen gratis Google-accounts voor consumenten aangetast – en we werken samen met IT-beheerders om ervoor te zorgen dat hun gebruikers hun wachtwoorden opnieuw instellen”, zegt Google in een blogpost. Het bedrijf benadrukt dat de wachtwoorden nooit de beveiligde G Suite-infrastructuur hebben verlaten. De wachtwoorden waren dus niet zomaar via het publieke internet toegankelijk.

“Onze authenticatiesystemen werken met meerdere verdedigingslagen die verder gaan dan het wachtwoord, en we implementeren talloze automatische systemen die kwaadwillende aanmeldingspogingen blokkeren, zelfs wanneer de aanvaller het wachtwoord kent”, nuanceert Google de mogelijke impact van de bug.

Subset gebruikers

Getroffen G Suite-beheerders werden ondertussen verwittigd en aangespoord om de wachtwoorden te veranderen. Accounts waarvoor dat nog niet is gebeurd, worden automatisch door Google zelf gereset. Het is niet duidelijk hoeveel gebruikers precies zijn getroffen. Google treedt in niet meer detail dan dat het over een “subset van onze zakelijke G Suite-klanten” gaat.

“We nemen de beveiliging van onze zakelijke klanten buitengewoon serieus en zijn er trots op dat we de best practices van de branche voor accountbeveiliging hebben verbeterd. Hier hebben we onze eigen normen en die van onze klanten niet nageleefd. Onze excuses aan onze gebruikers en we zullen het beter doen”, besluit Google de blogpost.