Googleは5月22日(米国時間)、「Notifying Administrators About Unhashed Password Storage|Google Cloud Blog」において、企業ユーザー向けG Suiteの機能の一部に問題があり、14年間にわたって暗号化されていないパスワードが使われていたと報告した。この問題はすでに修正されており、影響を受けたパスワードの不正利用は確認されていないという。
-
Notifying administrators about unhashed password storage
G Suiteは以前、ドメイン管理者に管理下にあるユーザーのパスワードを設定またはリカバリする機能を提供していた。この機能は企業ユースのアプリケーションでは一般的なものだ。しかし、Googleは2005年にこの機能を実装した時点で問題を犯していたことを発見しており、暗号化されていないパスワードを管理者コンソールに保存していたと説明している。つまり、14年間にわたって暗号化されていないパスワードが使われていたことになる。
あわせて、Googleは顧客のサインアップのトラブルシューティングを実施していたところ、2019年1月から暗号化されていないパスワードのサブセットがインフラストラクチャで誤って保存されていたことを発見したことを報告している。
この問題もすでに修正しており、不正利用の痕跡も見られなかったという。こちらの問題に関しては最大で14日間、パスワードが平文で保存されていたとしている。
