Если вы пользователь G Suite — меняйте пароль
G Suite — это платный набор офисных приложений в облаке от Google, включающий в себя Gmail, Hangouts, Google Drive, панель администратора и хранилище для управления пользователями и службами, и многие другие приложения. Насчитывается более 5 миллионов корпоративных клиентов, использующих G Suite. Вчера поисковый гигант раскрыл информацию о положении некоторых паролей пользователей G Suite, хранившихся в незашифрованном виде с 2005 года, но отказался сообщить, сколько именно клиентов пострадало. «Недавно мы уведомили часть наших корпоративных клиентов G Suite о том, что некоторые пароли хранились в наших зашифрованных внутренних системах без изменений», — сказала вице-президент Google по разработке Сюзанна Фрей.
Пароли обычно шифруются с использованием алгоритма хеширования (особое преобразование любого объема информации, в результате которого получается некое отображение — Прим.ред.), чтобы предотвратить их чтение и распространение. Администраторы G Suite могут вручную загружать, устанавливать и восстанавливать новые пароли для пользователей компании. В апреле Google сообщил, что способ, которым он реализовывал установку и восстановление пароля для своего корпоративного приложения в 2005 году, был неправильным и неверно сохранял копию пароля в открытом тексте. С тех пор Google удалил эту функцию.
По словам Сюзанны, ни одна из учетных записей Gmail не была подвержена опасности. «Чтобы было ясно, эти пароли остались в нашей безопасной зашифрованной инфраструктуре», — сказала Фрей. «Эта проблема была исправлена, и мы не обнаружили никаких доказательств неправильного доступа или использования уязвимых паролей». В начале этого месяца была обнаружена еще одна ошибка безопасности, выявляющая неполадки при регистрации новых пользователей G Suite. В январе компания заявила, что неправильно хранит «подмножество» нехэшированных паролей G Suite в своих внутренних системах до двух недель и эти они были доступны только ограниченному числу авторизованных сотрудников Google.
«Эта проблема была исправлена, и, опять же, мы не обнаружили никаких признаков неправильного доступа или использования затронутых паролей», — сказала Сюзанна. Корпорация добра уверила, что уже уведомила администраторов G Suite об истечении срока действия пароля. Google стала последней компанией, которая допустила хранение конфиденциальных данных в виде открытого текста. В марте Facebook заявил, что «сотни миллионов» паролей Facebook и Instagram хранятся в виде открытого текста. Twitter и GitHub также допустили аналогичные ошибки в прошлом году.