Google сегодня оповестил администраторов G Suite о двух инцидентах, в ходе которых пароли пользователей были сохранены некорректно. Эта проблема безопасности затрагивает только платные аккаунты Google, бесплатные пользователи не пострадали.
В общих чертах, основная система входа Google не знает фактических символов, из которых состоит ваш пароль. Вместо этого она запоминает и ассоциирует хэш-функцию — 72i32hedgqw23328 против GoTFinaleWasOnlyOk789 — с вашим именем пользователя.
Оба затем также шифруются перед сохранением на диск. В следующий раз, когда вы попытаетесь войти, мы так же зашифруем ваш пароль. Если он совпадет с сохраненной строкой, значит, вы ввели правильный пароль, и вход будет разрешен.
Для корпоративных аккаунтов G Suite Google ранее предоставлял IT-администраторам инструменты для создания и восстановления паролей сотрудников. Ошибка кроется в последнем, устаревшем на данный момент, инструменте:
Мы допустили ошибку при реализации этой функции в 2005 году: консоль администратора сохраняла копию пароля без хэширования. Такая практика не соответствовала нашим стандартам.
Более десяти лет некоторые пароли хранились в виде читаемого текста. Google отмечает, что эти пароли никогда не покидали его защищенную зашифрованную инфраструктуру, и нет никаких свидетельств «ненадлежащего доступа или злоупотребления затронутыми паролями».
Сегодня Google также подробно описал вторую проблему, связанную с процессом регистрации G Suite. Начиная с января 2019 года, «подмножество» паролей без хэширования хранилось максимум 14 дней.
Эта проблема была устранена, и, опять же, мы не видели никаких свидетельств ненадлежащего доступа или злоупотребления затронутыми паролями. Мы продолжим проводить аудиты безопасности, чтобы гарантировать, что это единичный инцидент.
В ответ Google сегодня отправил администраторам G Suite электронное письмо со списком затронутых пользователей, которым следует установить новый пароль. На следующей неделе Google сбросит пароли аккаунтов, которые не сделали этого самостоятельно.