2430447

Google speicherte Nutzer-Passwörter ungeschützt auf Servern

22.05.2019 | 15:28 Uhr | Hans-Christian Dirscherl

Google hat seit 2005 die Passwörter einiger G-Suite-Nutzer unverschlüsselt gespeichert. Im Januar 2019 gab es noch einmal ein ähnliches Problem.

Google hat einige Nutzer-Passwörter seit 14 Jahren unverschlüsselt im Klartext gespeichert. Das hat Google jetzt in einem Blogeintrag mitgeteilt. Betroffen sind aber nur Nutzer der kostenpflichtigen Google G-Suite . Google sagt aber nicht, wie viele Nutzer konkret betroffen sind. Nutzer des kostenlosen Googlemail sollen von der Sicherheitslücke nicht betroffen sein.

Google habe demnach kürzlich einen Fehler entdeckt, der dazu führte, dass bei einem Teil der G-Suite-Nutzer deren Zugangspasswort im Klartext auf den Google-Servern gespeichert wurde. Dieser Fehler bestand laut Google zirka seit dem Jahr 2005. Google habe aber keinerlei Hinweise darauf, dass ein Angreifer die unverschlüsselt gespeicherten Passwörter für Angriffe ausgenutzt habe. Google setzt nun alle betroffenen Passwörter zurück und informiert die zuständigen G-Suite-Administratoren darüber.

Der Fehler entstand offensichtlich durch eine Funktion, durch die Unternehmens-Administratoren das Passwort von G-Suite-Nutzern zurücksetzen konnten. Die Admin-Konsole speicherte so ein vom Admin manuell zurückgesetztes Passwort dann im Klartext, anstatt es zu hashen und damit gegen Missbrauch abzusichern. Google habe das aber längst geändert.

Zusätzlich entdeckte Google, dass es bei einigen G-Suite-Nutzern seit Januar 2019 deren Passwörter ebenfalls unverschlüsselt für höchstens 14 Tage gespeichert habe. Auch dieses Problem habe Google bereits gelöst und auch hier habe Google keine Hinweise darauf, dass Angreifer das bereits ausgenutzt hätten.

Die betroffenen Passwörter wurden zwar im Klartext gespeichert, allerdings lagen sie zumindest auf gegen Zugriff von außen abgesicherten Google-Servern und waren somit gegen fremden Zugriff gesichert.

PC-WELT Marktplatz

2430447