Sicherheitsvorfall: Google speichert Klartext-Passwörter über 14 Jahre lang

Nach Facebook und Twitter wird Google zum neuesten Technologieriesen, der versehentlich die Passwörter seiner Benutzer ungeschützt im Klartext auf seinen Servern gespeichert hat - das heißt, jeder Google-Mitarbeiter, der Zugriff auf die Server hat, hätte sie lesen können.

In einem am Dienstag veröffentlichten Blog-Post enthüllte Google, dass seine G-Suite-Plattform versehentlich ungehaschte Passwörter einiger ihrer Unternehmensnutzer auf internen Servern im Klartext für 14 Jahre gespeichert hat, weil ein Fehler in der Funktion zur Passwortwiederherstellung aufgetreten ist.

Die G Suite, früher bekannt als Google Apps, ist eine Sammlung von Cloud Computing-, Produktivitäts- und Kollaborationstools, die für Unternehmen entwickelt wurden, die E-Mail-Hosting für ihr Unternehmen betreiben. Es ist im Grunde genommen eine Geschäftsversion von allem, was Google anbietet.

Der nun gepatchte Fehler befand sich im Mechanismus zur Wiederherstellung von Passwörtern für Kunden der G-Suite, der es Unternehmensadministratoren ermöglicht, Passwörter für jeden Benutzer ihrer Domäne hochzuladen oder manuell festzulegen, ohne ihre vorherigen Passwörter zu kennen, um Unternehmen bei der Einarbeitung von Mitarbeitern und der Wiederherstellung von Konten zu unterstützen.

Wenn die Admins zurückgesetzt würden, würde die Verwaltungskonsole eine Kopie dieser Passwörter im Klartext speichern, anstatt sie zu verschlüsseln, verriet Google. "Wir haben bei der Implementierung dieser Funktionalität im Jahr 2005 einen Fehler gemacht. Die Verwaltungskonsole hat eine Kopie des nicht gehashten Passworts gespeichert", sagt Google. Google sagt jedoch auch, dass die Klartext-Passwörter nicht im offenen Internet, sondern auf eigenen sicheren, verschlüsselten Servern gespeichert wurden und dass das Unternehmen keinen Beweis dafür gefunden hat, dass jemandes Passwort unsachgemäß verwendet wurde.

"Diese Praxis entsprach nicht unseren Standards. Um es klarzustellen, diese Passwörter blieben in unserer sicheren verschlüsselten Infrastruktur", sagt Google. "Dieses Problem wurde behoben, und wir haben keine Beweise für unsachgemäßen Zugriff auf oder Missbrauch der betroffenen Passwörter gefunden."
Google stellt auch klar, dass der Fehler auf die Nutzer seiner G-Suite- Apps für Unternehmen beschränkt war und dass keine kostenlose Version von Google-Konten wie Google Mail betroffen war.

Obwohl das Unternehmen nicht offen legte, wie viele Benutzer von diesem Fehler betroffen gewesen sein könnten, obwohl es nicht nur sagte, dass das Problem "eine Teilmenge unserer Enterprise G-Suite-Kunden" mit mehr als 5 Millionen G-Suite-Kunden betraf, könnte der Fehler eine große Anzahl von Benutzern betreffen - vermutlich jeden Benutzer, der G-Suite in den letzten 14 Jahren benutzt hat.

Um das Problem zu lösen, hat Google inzwischen die Funktion aus den Administratoren der G Suite entfernt und ihnen eine Liste der betroffenen Benutzer per E-Mail geschickt, in der sie gebeten wurden, sicherzustellen, dass diese Benutzer ihre Passwörter zurücksetzen.

Google sagt, dass das Unternehmen automatisch Passwörter für diejenigen Benutzer zurücksetzen würde, die ihre Passwörter nicht ändern. "Aus Vorsicht werden wir Konten zurücksetzen, die dies nicht selbst getan haben", sagt der Technikriese.
Google ist das neueste Technologieunternehmen, das versehentlich ungehaschte Passwörter auf seinen internen Servern speichert. Vor kurzem war Facebook in den Nachrichten wegen der Speicherung von Klartext-Passwörtern für Hunderte von Millionen seiner Nutzer, sowohl Instagram als auch Facebook, auf seinen internen Servern.

Vor fast einem Jahr meldete Twitter auch einen ähnlichen Sicherheitsfehler, der Passwörter für seine 330 Millionen Nutzer in lesbarem Text auf seinem internen Computersystem enthüllte.