Google od roku 2005 ukládal hesla uživatelů G Suite v plaintextu
22.5.2019, Milan Šurkala, aktualita
Také Google má nyní velký bezpečnostní průšvih. Ukázalo se totiž, že podnikoví uživatelé balíku aplikací G Suite mohli mít svá hesla uložená na serverech společnosti v textové podobě bez zahashování.
Bezpečnostních průšvihů jsme tu měli poslední dobou hodně, především se to týkalo Facebooku, ale zdaleka nebyl jediný. Tím to ale zdaleka nekončí, teď si svou kauzu připisuje i společnost Google. Její podnikový G Suite zahrnující např. Gmail a další aplikace jako Google Docs totiž mohl už od roku 2005 ukládat hesla uživatelů v čistě textové podobě (plaintextu) a v případě, že by se někdo dostal k této databázi, snadno si je mohl přečíst. Což spolu s tím, že spousta lidí používá jedno stejné heslo k více službám, může být dost nebezpečné.
Jde pouze o část uživatelů podnikové verze (běžní uživatelé bezplatné verze Gmailu nebo Google Docs a jiných aplikací nejsou tímto dotčeni). Vše pramení z toho, že v minulosti služba nabízela administrátorům vytvářet a měnit hesla pro své zaměstnance. Příkladem může být situace, kdy člověk nastupuje do nové práce a administrátor mu už předem vytvoří účet i s heslem. Systém také umožňoval zaslat zapomenuté heslo, což je v dnešní praxi nepřípustný postup. Hesla by se totiž měla ukládat zahashovaně, což znamená zakódování jednosměrnou funkcí (heslo lze zakódovat, ale nelze odkódovat). Pokud by se hacker dostal k zahashovaným heslům, neměl by existovat způsob, jak se dostat k původní podobě. A právě zde byl kámen úrazu. Díky těmto funkcím usnadňujícím práci původní G Suite ukládal hesla v nezahashované podobě, k čemuž se nyní Google přiznal.
Částečnou náplastí je alespoň to, že celá tato infrastruktura byla šifrovaná, takže i když v jejím rámci si hesla mohla létat v textové podobě, hacker by nejprve musel prolomit zabezpečení infrastruktury jako takové. Google zatím nemá evidenci toho, že by se někdo pokusil tato hesla jakkoli zneužít a chyba je už nějakou dobu napravena. Nyní jsou hesla chráněna dvakrát, jednak se využívá hashování hesel a jednak toto zahashované heslo proudí zašifrovanou infrastrukturou. Proto už také není podporováno zaslání starého hesla.
Nicméně aby toho nebylo málo, od ledna 2019 byla v systému další chyba, která opět umožňovala v zabezpečené infrastruktuře dočasně ukládat hesla v nezahashované podobě. Tato hesla zde mohla být uložena maximálně po dobu 14 dní. I tato chyba již byla opravena.
