L’archivio, la cui esistenza è stata rivelata da Google stessa con un comunicato sul suo blog, risale a quattordici anni fa e contiene le chiavi accesso di un numero non precisato di account G Suite, che comprende i servizi a pagamento forniti alle aziende
Non solo Facebook e Twitter: anche Google ha scoperto tra i suoi server un archivio di password degli utenti non cifrate e potenzialmente accessibili ai dipendenti dell’azienda. L’archivio, la cui esistenza è stata rivelata da Google stessa con un comunicato sul suo blog, risale a quattordici anni fa e contiene le chiavi accesso di un numero non precisato di account G Suite, che comprende i servizi a pagamento forniti alle aziende. Come precisato dal colosso tecnologico, non è stata trovata traccia di un uso improprio dell’archivio, che comunque era custodito all’interno dei server dell’azienda e non accessibile dall’esterno.
Versione a pagamento dei servizi di Google, G Suite è un pacchetto di servizi forniti ad aziende e organizzazioni. Ciascun ente può gestire email e account dei propri dipendenti in modo diretto, garantendo l’accesso ai servizi in cloud dell’azienda e a canali di comunicazione interna o di condivisione dei calendari.
La falla, come ha spiegato Google, consiste nel meccanismo di recupero delle password G Suite, modificabili direttamente dall’amministratore del servizio. “Abbiamo fatto un errore nel 2005 quando abbiamo implementato questa funzionalità – si legge nel comunicato – Quando un amministratore resettava una password, una copia di questa veniva salvata in un archivio non cifrato”.
Come stabilito anche dal Regolamento generale per la protezione dei dati dell’Unione Europea, gli archivi di password e altre informazioni private o sensibili devono essere custoditi in modo protetto e ricorrendo a metodi di cifratura del dato, che lo rendono inaccessibile a chi non è autorizzato.
“La vulnerabilità è stata corretta e non c’è alcuna traccia di un possibile abuso di quei dati”, scrive l’azienda.
Il precedente
Lo scorso marzo una fonte anonima aveva rivelato al sito di cybersecurity Krebsonsecurity che Facebook aveva individuato un archivio contenente “milioni di password” non cifrate. Anche in quel caso, le informazioni riservate erano leggibili dai dipendenti, che avevano anche la possibilità di effettuare ricerche mirate. L’azienda aveva chiarito di non aver individuato alcuna traccia di un uso improprio di quelle informazioni.