Bezpečnostních průšvihů jsme tu měli poslední dobou hodně, především se to týkalo Facebooku, ale zdaleka nebyl jediný. Tím to ale zdaleka nekončí, teď si svou kauzu připisuje i společnost Google. Její podnikový G Suite zahrnující např. Gmail a další aplikace jako Google Docs totiž mohl už od roku 2005 ukládat hesla uživatelů v čistě textové podobě (plaintextu) a v případě, že by se někdo dostal k této databázi, snadno si je mohl přečíst. Což spolu s tím, že spousta lidí používá jedno stejné heslo k více službám, může být dost nebezpečné.
Jde pouze o část uživatelů podnikové verze (běžní uživatelé bezplatné verze Gmailu nebo Google Docs a jiných aplikací nejsou tímto dotčeni). Vše pramení z toho, že v minulosti služba nabízela administrátorům vytvářet a měnit hesla pro své zaměstnance. Příkladem může být situace, kdy člověk nastupuje do nové práce a administrátor mu už předem vytvoří účet i s heslem. Systém také umožňoval zaslat zapomenuté heslo, což je v dnešní praxi nepřípustný postup. Hesla by se totiž měla ukládat zahashovaně, což znamená zakódování jednosměrnou funkcí (heslo lze zakódovat, ale nelze odkódovat). Pokud by se hacker dostal k zahashovaným heslům, neměl by existovat způsob, jak se dostat k původní podobě. A právě zde byl kámen úrazu. Díky těmto funkcím usnadňujícím práci původní G Suite ukládal hesla v nezahashované podobě, k čemuž se nyní Google přiznal.
Částečnou náplastí je alespoň to, že celá tato infrastruktura byla šifrovaná, takže i když v jejím rámci si hesla mohla létat v textové podobě, hacker by nejprve musel prolomit zabezpečení infrastruktury jako takové. Google zatím nemá evidenci toho, že by se někdo pokusil tato hesla jakkoli zneužít a chyba je už nějakou dobu napravena. Nyní jsou hesla chráněna dvakrát, jednak se využívá hashování hesel a jednak toto zahashované heslo proudí zašifrovanou infrastrukturou. Proto už také není podporováno zaslání starého hesla.
Nicméně aby toho nebylo málo, od ledna 2019 byla v systému další chyba, která opět umožňovala v zabezpečené infrastruktuře dočasně ukládat hesla v nezahashované podobě. Tato hesla zde mohla být uložena maximálně po dobu 14 dní. I tato chyba již byla opravena.
.jpg)
