Google heeft bekendgemaakt dat het de wachtwoorden van een aantal gebruikers van zijn zakelijke dienst G Suite als plaintext had opgeslagen. De wachtwoorden werden sinds 2005 zo opgeslagen, schrijft Wired. Volgens de internetgigant zelf gaat het om “een klein percentage van G Suite-gebruikers”.
Consumentenaccounts zijn dus niet getroffen door de fout, maar sommige bedrijven en zakelijke accounts wel. Normaal gesproken worden de wachtwoorden cryptografisch opgeslagen. Daarbij worden ze omgezet naar een reeks karakters, wat we een hash noemen.
Door een fout in de wachtwoordherstel-functie van G Suite voor administrators konden wachtwoorden echter onbeveiligd opgeslagen worden in de infrastructuur van een controlepaneel genaamd admin console. Personeel van Google en malafide binnenkomers konden de wachtwoorden daardoor inzien. Dat geldt ook voor de administrators van getroffen organisaties.
Functies uitgeschakeld
De fout bestond al sinds 2005, een jaar voor dat Google for Work officieel beschikbaar werd. In april werd de fout ontdekt. In mei werd nog een fout waardoor wachtwoorden als gewone tekst werden opgeslagen ontdekt.
Door die bug werden wachtwoorden als plaintext opgeslagen bij nieuwe gebruikers die de aanmelding af hadden gerond. Die fout bestond sinds januari dit jaar. De wachtwoorden die verkeerd werden opgeslagen, werden maximaal veertien dagen opgeslagen.
Google zegt geen bewijs te hebben dat iemand ooit toegang heeft gehad tot de wachtwoorden of deze misbruikt heeft. Google heeft de functies die de fout bevatten uitgeschakeld. Het bedrijf is nu G Suite-administrators op de hoogte aan het stellen. Ook zegt de internetgigant automatisch de getroffen wachtwoorden te resetten, mochten ze niet al veranderd zijn.
Het is de derde keer in 18 maanden tijd dat een groot tech-bedrijf bekendmaakt wachtwoorden per ongeluk als plaintext te hebben opgeslagen. Facebook onthulde in maart wachtwoorden van honderden miljoenen gebruikers op die manier te hebben opgeslagen. Dat was ook het geval voor miljoenen Instagram-wachtwoorden.
Twitter meldde vorig jaar dat het wachtwoorden op deze wijze had opgeslagen. Waarom dat was, is onduidelijk. Ook wilde Twitter toen niet zeggen hoe lang het wachtwoorden van gebruikers als plaintext opsloeg. De fout van Facebook kwam uit 2012.