www.svethardware.cz
>
>
>
>

Google od roku 2005 ukládal hesla uživatelů G Suite v plaintextu

Google od roku 2005 ukládal hesla uživatelů G Suite v plaintextu
, , aktualita
Také Google má nyní velký bezpečnostní průšvih. Ukázalo se totiž, že podnikoví uživatelé balíku aplikací G Suite mohli mít svá hesla uložená na serverech společnosti v textové podobě bez zahashování.
K oblíbeným
reklama
Bezpečnostních průšvihů jsme tu měli poslední dobou hodně, především se to týkalo Facebooku, ale zdaleka nebyl jediný. Tím to ale zdaleka nekončí, teď si svou kauzu připisuje i společnost Google. Její podnikový G Suite zahrnující např. Gmail a další aplikace jako Google Docs totiž mohl už od roku 2005 ukládat hesla uživatelů v čistě textové podobě (plaintextu) a v případě, že by se někdo dostal k této databázi, snadno si je mohl přečíst. Což spolu s tím, že spousta lidí používá jedno stejné heslo k více službám, může být dost nebezpečné.
 
Google logo
 
Jde pouze o část uživatelů podnikové verze (běžní uživatelé bezplatné verze Gmailu nebo Google Docs a jiných aplikací nejsou tímto dotčeni). Vše pramení z toho, že v minulosti služba nabízela administrátorům vytvářet a měnit hesla pro své zaměstnance. Příkladem může být situace, kdy člověk nastupuje do nové práce a administrátor mu už předem vytvoří účet i s heslem. Systém také umožňoval zaslat zapomenuté heslo, což je v dnešní praxi nepřípustný postup. Hesla by se totiž měla ukládat zahashovaně, což znamená zakódování jednosměrnou funkcí (heslo lze zakódovat, ale nelze odkódovat). Pokud by se hacker dostal k zahashovaným heslům, neměl by existovat způsob, jak se dostat k původní podobě. A právě zde byl kámen úrazu. Díky těmto funkcím usnadňujícím práci původní G Suite ukládal hesla v nezahashované podobě, k čemuž se nyní Google přiznal.
 
Částečnou náplastí je alespoň to, že celá tato infrastruktura byla šifrovaná, takže i když v jejím rámci si hesla mohla létat v textové podobě, hacker by nejprve musel prolomit zabezpečení infrastruktury jako takové. Google zatím nemá evidenci toho, že by se někdo pokusil tato hesla jakkoli zneužít a chyba je už nějakou dobu napravena. Nyní jsou hesla chráněna dvakrát, jednak se využívá hashování hesel a jednak toto zahashované heslo proudí zašifrovanou infrastrukturou. Proto už také není podporováno zaslání starého hesla.
 
Nicméně aby toho nebylo málo, od ledna 2019 byla v systému další chyba, která opět umožňovala v zabezpečené infrastruktuře dočasně ukládat hesla v nezahashované podobě. Tato hesla zde mohla být uložena maximálně po dobu 14 dní. I tato chyba již byla opravena.
 


Ceny souvisejících / podobných produktů:


reklama
Nejnovější články
Ochrana proti ransomwaru zdarma. Nově ji obsahuje také Avast Free Antivirus Ochrana proti ransomwaru zdarma. Nově ji obsahuje také Avast Free Antivirus
Avast zareagoval na vzrůstající počet kybernetických útoků a rozšířil svůj štít proti ransomwaru i do bezplatné aplikace Avast Free Antivirus. Uživatelé placeného řešení Avast Premium Security potom získali nový štít proti vzdálenému přístupu.
Dnes, aktualita, Jáchym Šlik
Microsoft opravil řadu chyb ve Windows 10 2004. Vyšla volitelná aktualizace Microsoft opravil řadu chyb ve Windows 10 2004. Vyšla volitelná aktualizace
Nejnovější volitelná aktualizace pro Windows 10 řeší některé problémy s ovladači, kvůli kterým Microsoft před dvěma měsíci pozastavil May 2020 Update. Obsahuje také dlouhou řadu dalších oprav týkajících se různých částí systému.
Dnes, aktualita, Jáchym Šlik
AOC ohlašuje nové herní AGON: 24" 240Hz a 27" 165Hz AOC ohlašuje nové herní AGON: 24" 240Hz a 27" 165Hz
Společnost AOC zařadila do své nabídky dva nové herní monitory, které k sobě moc blízko nemají. Model AG251FZ2E představuje 24palcový a 240Hz monitor s obrazovkou typu TN a pak tu máme 27” 165Hz NanoIPS v podobě AG273QXP.
Dnes, aktualita, Jan Vítek1 komentář
Garmin dostal dešifrovač pro ransomware, nejspíše musel vyděračům zaplatit Garmin dostal dešifrovač pro ransomware, nejspíše musel vyděračům zaplatit
Před téměř dvěma týdny zaznamenali uživatelé zařízení firmy Garmin velký výpadek jejích systémů a jak se brzy ukázalo, byl za ním ransomwarový útok. Server BleepingComputer nyní uvádí, že firma dostala dešifrovací klíč, takže je zřejmé, že zaplatila.
Dnes, aktualita, Jan Vítek2 komentáře
Flight Simulator 2020 dostane podporu VR a bude i na Steamu Flight Simulator 2020 dostane podporu VR a bude i na Steamu
Microsoft Flight Simulator nám svou formou distribuce připomene éru disket, neboť krabicová verze bude k dispozici s celkem deseti oboustrannými DVD. Ovšem lidé preferující digitální distribuci budou mít možnost si hru koupit i na Steamu. 
Dnes, aktualita, Jan Vítek