www.svethardware.cz
>
>
>
>

Google od roku 2005 ukládal hesla uživatelů G Suite v plaintextu

Google od roku 2005 ukládal hesla uživatelů G Suite v plaintextu
, , aktualita
Také Google má nyní velký bezpečnostní průšvih. Ukázalo se totiž, že podnikoví uživatelé balíku aplikací G Suite mohli mít svá hesla uložená na serverech společnosti v textové podobě bez zahashování.
K oblíbeným
reklama
Bezpečnostních průšvihů jsme tu měli poslední dobou hodně, především se to týkalo Facebooku, ale zdaleka nebyl jediný. Tím to ale zdaleka nekončí, teď si svou kauzu připisuje i společnost Google. Její podnikový G Suite zahrnující např. Gmail a další aplikace jako Google Docs totiž mohl už od roku 2005 ukládat hesla uživatelů v čistě textové podobě (plaintextu) a v případě, že by se někdo dostal k této databázi, snadno si je mohl přečíst. Což spolu s tím, že spousta lidí používá jedno stejné heslo k více službám, může být dost nebezpečné.
 
Google logo
 
Jde pouze o část uživatelů podnikové verze (běžní uživatelé bezplatné verze Gmailu nebo Google Docs a jiných aplikací nejsou tímto dotčeni). Vše pramení z toho, že v minulosti služba nabízela administrátorům vytvářet a měnit hesla pro své zaměstnance. Příkladem může být situace, kdy člověk nastupuje do nové práce a administrátor mu už předem vytvoří účet i s heslem. Systém také umožňoval zaslat zapomenuté heslo, což je v dnešní praxi nepřípustný postup. Hesla by se totiž měla ukládat zahashovaně, což znamená zakódování jednosměrnou funkcí (heslo lze zakódovat, ale nelze odkódovat). Pokud by se hacker dostal k zahashovaným heslům, neměl by existovat způsob, jak se dostat k původní podobě. A právě zde byl kámen úrazu. Díky těmto funkcím usnadňujícím práci původní G Suite ukládal hesla v nezahashované podobě, k čemuž se nyní Google přiznal.
 
Částečnou náplastí je alespoň to, že celá tato infrastruktura byla šifrovaná, takže i když v jejím rámci si hesla mohla létat v textové podobě, hacker by nejprve musel prolomit zabezpečení infrastruktury jako takové. Google zatím nemá evidenci toho, že by se někdo pokusil tato hesla jakkoli zneužít a chyba je už nějakou dobu napravena. Nyní jsou hesla chráněna dvakrát, jednak se využívá hashování hesel a jednak toto zahashované heslo proudí zašifrovanou infrastrukturou. Proto už také není podporováno zaslání starého hesla.
 
Nicméně aby toho nebylo málo, od ledna 2019 byla v systému další chyba, která opět umožňovala v zabezpečené infrastruktuře dočasně ukládat hesla v nezahashované podobě. Tato hesla zde mohla být uložena maximálně po dobu 14 dní. I tato chyba již byla opravena.
 


Ceny souvisejících / podobných produktů:


reklama
Nejnovější články
Microsoft uvádí Secure-core PC, prevenci proti infekcím firmwaru Microsoft uvádí Secure-core PC, prevenci proti infekcím firmwaru
Společnost Microsoft spustila novou iniciativu Secure-core PC, která by měla zajišťovat vyšší bezpečnost počítačů. Má zajistit to, že operační systém naběhne s ověřeným firmwarem, který nebyl napaden malwarem.
Dnes, aktualita, Milan Šurkala
NordVPN potvrdilo napadení "svého" datového centra NordVPN potvrdilo napadení "svého" datového centra
Oblíbená aplikace NordVPN zaznamenala v minulém roce nepříjemnou událost. Jedno z datových center bylo napadeno a útočníci se dostali k TLS klíčům, což mohlo mít velmi vážné důsledky na bezpečnost.
Dnes, aktualita, Milan Šurkala
Bohatý podzim: kdy přijdou nové procesory a grafické karty? Bohatý podzim: kdy přijdou nové procesory a grafické karty?
Během příštích dvou týdnů bude představena či rovnou i vypuštěna na trh řada nových produktů a my se nyní v krátkosti podíváme na to, co to bude a kdy to bude. Jde o produkty firem AMD, NVIDIA i Intel. 
Včera, aktualita, Jan Vítek
Specifikace GTX 1660 Super jsou na světě: za kolik a kdy bude k dispozici? Specifikace GTX 1660 Super jsou na světě: za kolik a kdy bude k dispozici?
Aktualizováno: NVIDIA by snad již dnes měla vypustit na trh přinejmenším novou GeForce GTX 1660 Super, která by měla lépe zachytit nástup nových Radeonů, i když není zrovna jasné, co můžeme od AMD čekat. 
Včera, aktualita, Jan Vítek1 komentář
Velká Británie vyšle na Měsíc pavoučího robota Velká Británie vyšle na Měsíc pavoučího robota
Velká Británie, respektive přesněji londýnská společnost Spacebit, se chystá vypustit na Měsíc chodícího robota, který bude chodit v pavoučím stylu. Namísto osmi končetin však bude mít čtyři, což jej řadí spíše vedle Spider Mastermind.
Včera, aktualita, Jan Vítek2 komentáře