È successo a Facebook, a Instagram e ora tocca a Google. Le password di un numero non precisato di utenti G Suite (sono in totale oltre 5 milioni nel mondo) sono state salvate in chiaro, non protette da crittografia, all’interno dei sistemi gestiti dal gruppo di Mountain View. Gli interessati stanno ricevendo un avviso che invita loro e i collaboratori colpiti dal problema a modificare le credenziali per l’accesso al servizio.
La policy di Google prevede di salvare le vostre password protette da crittografia così da garantirne la sicurezza. Ciò nonostante, di recente abbiamo comunicato a un gruppo ristretto di clienti G Suite che alcune password sono state immagazzinate in chiaro nei nostri sistemi interni. Si tratta di un problema che interessa solo gli utenti business, non gli account free di Google.
G Suite: le password in chiaro
La natura del problema è da ricercare in un errore commesso da Google nell’ormai lontano 2005, quando venne introdotta nella Console di Amministrazione di G Suite una funzionalità utile per modificare le password degli account associati ai collaboratori. Un comportamento anomalo ha provocato il salvataggio dei codici in un formato leggibile, non protetto da crittografia. Nel post in merito all’accaduto, bigG sottolinea comunque come le informazioni non abbiano mai lasciato la sua infrastruttura e come non siano stati rilevati abusi. Ora il bug, rimasto nascosto per lungo tempo, è stato corretto.
Siamo al lavoro con gli amministratori delle aziende per garantire che i loro utenti effettuino un reset delle password. Abbiamo condotto un’indagine approfondita e non abbiamo rilevato accessi impropri o abusi delle credenziali in questione.
Nello stesso intervento Google rende noto di aver rivisto la procedura di iscrizione dei nuovi utenti G Suite, risolvendo un problema scoperto nel gennaio di quest’anno, anch’esso responsabile del salvataggio in chiaro di alcune password (comunque eliminate automaticamente dopo non più di 14 giorni).
Per sgombrare il campo da qualsiasi preoccupazione è possibile procedere al reset delle credenziali, anche se non si è stati contattati dal supporto di bigG. Ricordiamo inoltre che per un maggiore livello di sicurezza ci si può affidare a diversi sistemi di autenticazione a due fattori, inclusi quelli che prevedono l’impiego delle Security Key.