Google hat einen Fehler bei der Speicherung der Passwörter von G-Suite-Enterprise-Konten eingeräumt. Sie wurden offenbar ungehasht, also im Klartext, gespeichert, und zwar über einen Zeitraum von 14 Jahren.
„Googles Richtlinie besagt, dass Passwörter mit kryptographischen Hashes zu speichern sind, die diese Passwörter maskieren, um ihre Sicherheit zu gewährleisten“, schreibt Suzanne Frey, Vice President of Engineering bei Google, in einem Blogeintrag. „Vor kurzem haben wir jedoch eine Teilmenge unserer Kunden der Enterprise G Suite darüber informiert, dass einige Passwörter unverschlüsselt in unseren verschlüsselten internen Systemen gespeichert wurden.“
„Das ist ein G-Suite-Problem, das nur geschäftliche Nutzer betrifft – keine kostenlosen Consumer-Konten waren betroffen – und wir arbeiten mit den Administratoren in Unternehmen zusammen, dass deren Nutzer ihre Kennwörter zurücksetzen“, so Frey weiter. Eine gründliche Untersuchung habe keine Anzeichen für einen Missbrauch von G-Suite-Anmeldedaten geliefert.
Auslöser war offenbar ein Fehler bei der Implementierung der Hashfunktion im Jahr 2005. Dadurch sei eine Kopie des Passworts unverschlüsselt in der Admin-Konsole gespeichert worden, erklärte Frey. Der Fehler sei nun behoben worden. Die Passwörter hätten zudem die sichere verschlüsselte Infrastruktur nie verlassen.
Das Hashen von Passwörter gilt eigentlich schon seit vielen Jahren als grundlegender Standard beim Umgang mit Anmeldedaten von Nutzern. Trotzdem kommt es immer wieder vor, dass Unternehmen Passwörter ungeschützt speichern – oder so schlecht schützen, dass sie im Fall eines Datenverlusts ohne großen Aufwand entschlüsselt werden können.
Erst im März hatte Facebook zugegeben, die Kennwörter von mindestens 200 Millionen Usern unverschlüsselt vorgehalten zu haben. Die Daten waren zum Teil über einen Zeitraum von mehreren Jahren für Tausende Facebook-Mitarbeiter einsehbar. Wer in den 14 Jahren grundsätzlich bei Google Zugriff auf die unverschlüsselten Passwörter hatte, ist indes nicht bekannt. Google betonte jedoch, dass die unverschlüsselten Kennwörter jeweils nur 14 Tage vorgehalten und danach automatisch gelöscht wurden.
Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.
Copilot wird stärker in Microsoft 365 integriert. Neue Funktionen stehen unter anderem für Excel, Outlook,…
Schwachstelle weist laut Tenable auf schwerwiegende Sicherheitslücke in Google Cloud Diensten hin, insbesondere App Engine,…
Die neue Version kommt mit einem Supportzeitraum von fünf Jahren. Währenddessen erhält Office LTSC 2024…
Sie führen unter Umständen zur Preisgabe vertraulicher Informationen oder gar zu einem Systemabsturz. Apples KI-Dienste…
Das Projekt liegt wahrscheinlich für rund zwei Jahre auf Eis. Aus der Fertigungssparte Intel Foundry…
Der Sicherheitscheck entzieht unsicheren Websites automatisch alle Berechtigungen. Zudem können Nutzer in Chrome künftig Websites…