G Suite

Nonostante il fatto che la sua policy sia di memorizzare le password con codifica hash per garantirne la sicurezza, Google ha tuttavia di recente scoperto (e informato di conseguenza) che le password di una parte dei suoi clienti aziendali di G Suite sono state archiviate in chiaro (unhashed) nei sistemi interni di Big G.

Google ha puntualizzato che questo problema di G Suite interessa solo gli utenti business e che nessun account consumer Google gratuito è stato interessato da questa falla nella sicurezza.

Google ha anche dichiarato di essere al lavoro con gli amministratori aziendali per garantire che i loro utenti reimpostino le proprie password.

La società di Mountain View ha affermato di aver condotto un'indagine approfondita e di non aver riscontrato alcuna prova di accesso o uso improprio delle credenziali di G Suite coinvolte nella vulnerabilità. A quanto pare, quindi, la falla potrebbe non essere stata sfruttata in pratica.

In cosa consiste la falla di G Suite

Quando Google memorizza le password per gli utenti consumer e per i clienti enterprise di G Suite, spiegano da Mountain View, invece di registrare i caratteri esatti della password, essa viene elaborata con una ”funzione hash”. La password viene quindi trasformata in una stringa di caratteri diversa che viene poi archiviata, insieme allo user name. Entrambi vengono inoltre crittografati, prima di essere salvati sul disco.

L'efficacia della funzione hash, prosegue Google, sta nella sua natura unidirezionale: è semplice codificare la password, ma quasi impossibile decodificarla. Quindi, se qualcuno dovesse ottenere la password codificata, non sarà in grado di recuperare la vera password.

L'aspetto negativo dell'hash delle password è che, se l’utente dimentica la password, il sistema non può recuperarla e non può fare altro che resettarla su una password temporanea (valida una sola volta) e quindi richiederne una nuova.

Negli account enterprise di G Suite, in precedenza Google aveva fornito agli amministratori di dominio strumenti per impostare e recuperare le password, poiché tale funzionalità veniva richiesta di frequente.

Questo strumento, presente nella console di amministrazione, consentiva agli amministratori di caricare o impostare manualmente le password per gli utenti della propria azienda. L'intento era di aiutarli nella registrazione di nuovi utenti, ad esempio per far sì che un nuovo dipendente potesse ricevere le informazioni sul proprio account dal primo giorno di lavoro. Tale funzionalità per recuperare le password in questo modo, informa Google, non esiste più.

Il problema sta nel fatto, ha reso noto Google, che è stato commesso un errore durante l'implementazione di questa funzionalità nel 2005: la console di amministrazione memorizzava una copia della password in chiaro (unhashed).

Una pratica che, ha ammesso Google, chiaramente non era all'altezza degli standard di sicurezza della società. Google ha anche sottolineato che queste password sono rimaste all’interno della sua infrastruttura criptata. Inoltre, il problema è stato risolto e non è stata riscontrata alcuna prova di accesso o abuso delle password coinvolte nella vulnerabilità.

Google ha annunciato di aver informato gli amministratori di G Suite di modificare le password interessate; per prudenza, sarà effettuato in reset degli account che non l'hanno fatto da soli.

Maggiori informazioni sono disponibili sul blog di Google Cloud, a questo link.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato sulle novità tecnologiche iscriviti alla newsletter gratuita.

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome