Google ha archiviato in chiaro le password di un numero non precisato di utenti del pacchetto software per la produttività G Suite, indirizzato alle aziende. Nella nota che ha pubblicato sul suo blog ufficiale, l’azienda spiega che per prassi memorizza le password con codici crittografati per garantirne la sicurezza, ma è evidente che qualcosa non ha funzionato, dato che “alcune password” di “un sottoinsieme dei nostri clienti aziendali” non hanno beneficiato della stessa procedura.
Il problema viene da lontano, perché l’archivio incriminato risale al 2005. Quello che è accaduto è che quando un amministratore di sistema inseriva un nuovo utente in un nuovo gruppo di lavoro e vi associava una password, questa non veniva crittografata. La sgradita sorpresa è avvenuta nel mese di aprile del 2019.
Un episodio che ha molte analogie con quanto accaduto a Facebook poco tempo fa: per anni milioni di password sono rimaste “in chiaro” sui server, tecnicamente consultabili da parte dei dipendenti aziendali addetti ai servizi, degli amministratori, eccetera. Allo stesso modo la mancata sicurezza non ha portato ad alcun furto di dati: “le password sono rimaste nella nostra infrastruttura crittografata sicura […] il problema è stato risolto e non abbiamo riscontrato alcuna prova di accesso o abuso delle password interessate” scrive Suzanne Frey di Google Cloud Trust.
Nel caso di Facebook milioni di utenti sono stati invitati a cambiare password “a titolo precauzionale”; Google ha esortato gli amministratori di account G Suite a cambiare le password. Le dovute scuse sono state fatte, e come Facebook anche Google ha dedicato ampia parte del post a spiegare come vengono crittografate le password per rassicurare gli utenti. Una canzone che tristemente conosciamo già, e che serve a poco se il passaggio della crittografia viene saltato a piè pari per un qualche errore di sistema.