Xakep #241. Взлом игр

• Содержание выпуска


• Подписка на «Хакер»

Представители Google предупредили, что пароли корпоративных клиентов G Suite почти 14 лет хранились в недостаточно защищенной форме (между 2005 и 2019 годами).

В компании пояснили, что исходно проблема возникла из-за старого инструмента, созданного еще в 2000-х годах. Тот позволял администраторам загружать или вручную устанавливать пароли для пользователей своей компании. Предполагалось, что эта функция должна облегчить администраторам G Suite подключение новых пользователей.

Однако, как выяснилось теперь, в 2005 году инженеры Google допустили ошибку в коде инструмента, из-за чего установленные таким образом пароли сохранялись на жестком диске, минуя стандартный алгоритм хеширования паролей. Нужно отметить, что на дисках пароли все же подвергались шифрованию, то есть нельзя сказать, что пользовательские пароли хранились открытым текстом.

После обнаружения бага устаревший инструмент упразднили, а проблему исправили: теперь пароли в обязательном порядке хешируются. В Google подчеркнули, что нехешированные пароли не подвергались никаким рискам внутри защищенной инфраструктуры компании, а также не было выявлено никаких признаков того, что они могли подвергаться каким-либо злоупотреблениям.

Однако вместе с этой старой проблемой была выявлена и более новая неприятность, так же связанная с паролями  G Suite. Второй баг был обнаружен во время выявления неполадок в новом sign-up механизме G Suite. Оказалось, в январе 2019 года разработчики допустили ошибку, из-за которой пароли, заданные во время создания учетной записи, тоже сохранялись в нехешированном виде (но только на 14 дней). Равно как и в первом случае, в конечном счете, эти пароли были защищены только шифрованием диска.

Компания уже уведомляет пострадавших администраторов G Suite об обнаруженных багах и рекомендует им сбросить пользовательские пароли, если те были заданы с помощью старого инструмента для  G Suite. Если пароли не будут сброшены администраторами, разработчики Google, в целях безопасности, обещают сделать это самостоятельно.

Теги: CSS, пароли Suite Google из-за Suite.