G Suite: Google speicherte Passwörter teilweise im Klartext

Eigentlich speichere man Passwörter nur gehasht, betont Google in einem Blogeintrag. Doch durch zwei Fehler seien Passwörter von Nutzern des an Unternehmenskunden gerichteten Google-Angebots G Suite zum Teil im Klartext gespeichert worden. Bereits 2005 sei Google ein Fehler bei der Implementierung von Tools für Domain-Administratoren, mit welchen diese Passwörter setzen und wiederherstellen konnten, unterlaufen: Die Admin-Konsole habe eine Kopie der Passwörter im Klartext gespeichert.

Bei einem zweiten Fehler wurden ab Januar 2019 zum Teil ungehashte Passwörter von G-Suite-Kunden gespeichert, allerdings längstes über einen Zeitraum von 14 Tagen. In beiden Fällen hätten sich die Passwörter in der verschlüsselten Google-Infrastruktur befunden. Mittlerweile wurden beide Fehler behoben. Die betroffenen Kunden wurden laut Google informiert und zum Ändern der betroffenen Passwörter aufgefordert. Es gäbe keine Hinweise auf einen Zugriff oder Missbrauch der Passwörter, schreibt Google. Privatkunden seien von den Problemen nicht betroffen. Um wie viele Geschäftskunden beziehungsweise Passwörter es sich handelt, verrät Google nicht.

Auch Facebook speicherte Passwörter im Klartext

Mitte März wurde ein ähnliches Problem bei Facebook bekannt: Das Social-Media-Unternehmen speicherte die Facebook-Passwörter von rund 600 Millionen Nutzern im Klartext. Mehr als 20.000 Mitarbeiter des Online-Netzwerks hätten Zugriff auf die im Klartext gespeicherten Passwörter haben können.

Erst letzte Woche rief Google die Bluetooth-Variante seines Fido-Sticks Titan wegen Sicherheitsproblemen zurück. Dieser soll eigentlich das sichere Anmelden mit einem zweiten Faktor ermöglichen.