Google speichert jahrelang Passwörter von G-Suite-Kunden im Klartext

Google hat einen Fehler bei der Speicherung der Passwörter von G-Suite-Enterprise-Konten eingeräumt. Sie wurden offenbar ungehasht, also im Klartext, gespeichert, und zwar über einen Zeitraum von 14 Jahren.

Das Unternehmen betonte, dass Verbraucher nicht betroffen sind. Zudem seien die Kennwörter trotzdem geschützt gewesen, da sie auf einem verschlüsselten internen Server abgelegt waren.

„Googles Richtlinie besagt, dass Passwörter mit kryptographischen Hashes zu speichern sind, die diese Passwörter maskieren, um ihre Sicherheit zu gewährleisten“, schreibt Suzanne Frey, Vice President of Engineering bei Google, in einem Blogeintrag. „Vor kurzem haben wir jedoch eine Teilmenge unserer Kunden der Enterprise G Suite darüber informiert, dass einige Passwörter unverschlüsselt in unseren verschlüsselten internen Systemen gespeichert wurden.“

„Das ist ein G-Suite-Problem, das nur geschäftliche Nutzer betrifft – keine kostenlosen Consumer-Konten waren betroffen – und wir arbeiten mit den Administratoren in Unternehmen zusammen, dass deren Nutzer ihre Kennwörter zurücksetzen“, so Frey weiter. Eine gründliche Untersuchung habe keine Anzeichen für einen Missbrauch von G-Suite-Anmeldedaten geliefert.

Auslöser war offenbar ein Fehler bei der Implementierung der Hashfunktion im Jahr 2005. Dadurch sei eine Kopie des Passworts unverschlüsselt in der Admin-Konsole gespeichert worden, erklärte Frey. Der Fehler sei nun behoben worden. Die Passwörter hätten zudem die sichere verschlüsselte Infrastruktur nie verlassen.

Das Hashen von Passwörter gilt eigentlich schon seit vielen Jahren als grundlegender Standard beim Umgang mit Anmeldedaten von Nutzern. Trotzdem kommt es immer wieder vor, dass Unternehmen Passwörter ungeschützt speichern – oder so schlecht schützen, dass sie im Fall eines Datenverlusts ohne großen Aufwand entschlüsselt werden können.

Erst im März hatte Facebook zugegeben, die Kennwörter von mindestens 200 Millionen Usern unverschlüsselt vorgehalten zu haben. Die Daten waren zum Teil über einen Zeitraum von mehreren Jahren für Tausende Facebook-Mitarbeiter einsehbar. Wer in den 14 Jahren grundsätzlich bei Google Zugriff auf die unverschlüsselten Passwörter hatte, ist indes nicht bekannt. Google betonte jedoch, dass die unverschlüsselten Kennwörter jeweils nur 14 Tage vorgehalten und danach automatisch gelöscht wurden.