mercoledì 22 maggio 2019

Google ha lasciato in chiaro per 14 anni le password di utenti G Suite


Dopo Facebook e Twitter, Google è il successivo gigante della tecnologia che ha accidentalmente salvato le password dei propri utenti in chiaro sui propri server. Conseguenza è che per tutto il tempo di vigenza del bug, gli impiegati Google hanno avuto la possibilità di accedere ai dati e vedere in chiaro le password, così come può essere successo anche a cyber attaccanti che possono aver avuto accesso ai server, dato il lasso di tempo così lungo. 

E' stata Google stessa a rivelare, con un post sul suo blog, questa problematica della piattaforma G Suite, che ha esposto per 14 anni le password di utenti aziendali: i dati, salvati in server interni, sono finiti in chiaro a causa di un bug nella funzione di recupero della password. 

Per chi non lo sapesse Google G Suite, conosciuta in realtà col nome di Google Apps, è una raccolta in cloud di tool per il computing, la produttività e la collaborazione pensata per utenti aziendali con l'email hosting per le proprie attività.  In breve, una versione business dei servizi che Google offre a chiunque. 

La vulnerabilità: qualche info tecnica
La vulnerabilità (che, fa sapere Google, è stata risolta) risiede nel meccanismo di recupero password di G Suite, che consente agli amministratori aziendali di caricare o impostare manualmente un set di password per ogni utente con il dominio aziendale senza la necessità di conoscere le password precedenti: sono tutti meccanismi pensati per facilitare la creazione di nuovi account o per il recupero di account. Se però l'amministratore esegue un reset, la console di amministrazione esegue una copia di queste password: qui sta l'errore... la copia viene eseguita senza che si attivi alcun meccanismo di criptazione. Insomma non viene salvato l'hash della password, ma la password stessa in chiaro. 

L'errore, fa sapere Google, risale addirittura al 2005 e non ve n'è stata consapevolezza fino a qualche giorno fa. In ogni caso, Big G rassicura i propri utenti perché le password, per quanto in chiaro, erano salvate su infrastrutture non aperte direttamente ad Internet, su server interni criptati e non si sono trovate prove di qualsiasi tipo di accesso non autorizzato. 

Chi potrebbe essere riguardato da questo problema?
Difficile dirlo: Google ha fatto sapere che nessuna versione gratuita di account Google (Gmail ad esempio) è stata riguardata da questo bug. Il problema quindi riguarda soltanto gli utenti delle app G Suite per le aziende, ma Big G non ha fatto sapere quanti utenti potrebbero essere in qualche modo ricompresi in questo incidente di sicurezza. Oggi Google G Suite ha 5 milioni di clienti aziendali e il bug è stato presente per 14 anni. 

La soluzione
Ad ora Google, per risolvere il problema, ha rimosso la funzionalità incriminata dagli amministratori G Suite e inviato un email a tutti gli utenti interessati chiedendo il reset della password. Oltre a ciò Google ha annunciato che procederà al reset automatico delle password di quegli utenti che non modificheranno le proprie password. 

I casi precedenti
Come scritto in incipt di testo, Google G Suite non è certo la capostipite di questo tipo di incidenti di sicurezza: nel Marzo 2019 Facebook ha annunciato di aver scoperto salvate in chiaro le password di "centinaia di milioni" di utenti. Poco dopo stesso problema sia per utenti Facebook che Instagram: in entrambi i casi, rassicura Facebook,  i dati erano si in chiaro, ma stoccati su server interni. 

Poco più di anno fa è stata invece la volta di Twitter, che aveva annunciato, tra l'altro per un bug molto simile a quello presentato in questo articolo, di aver riscontrato il salvataggio in chiaro delle password di 330 milioni di utenti. 

Nessun commento:

Posta un commento