Google bewaarde wachtwoorden 14 jaar lang onversleuteld

Normaal gesproken bewaart Google deze wachtwoorden net als alle andere techbedrijven versleuteld of ‘hashed’ op de eigen servers. Dit doen ze zodat hackers er indien de wachtwoorden worden gestolen niets mee kunnen doen, zonder dat ze de juiste sleutel in handen hebben. Maar bij dat versleutelen is in dit geval iets totaal misgelopen, zo blijkt uit de blogpost waarin Google de miskleun zelf openbaart.

Onversleutelde kopie

Het ging al mis in 2005, toen de admin-console van Google een kopie van de wachtwoorden onversleuteld op de eigen server opsloeg. In die tijd was het volgens het bedrijf gangbaar om een functie aan domeinbeheerders van bedrijven ter beschikking te stellen waarmee ze eenvoudig wachtwoorden konden in- en herstellen. Hiermee konden deze domeinbeheerders bijvoorbeeld nieuwe werknemers makkelijk en snel van credentials voorzien. De betreffende functie is inmiddels al niet meer in gebruik.

Tijdens de implementatie in 2005 ging het hiermee dus fout. De beheerdersconsole heeft de niet-versleutelde wachtwoorden opgeslagen op de eigen gecodeerde infrastructuur van Google. Volgens Google voldeed deze actie “niet aan de voorwaarden” die het bedrijf zichzelf oplegt, maar is het gekopieerde bestand met wachtwoorden wel altijd intern gebleven. Er is volgens de techreus ook geen enkel bewijs dat de wachtwoorden op welke manier dan ook in handen van onbevoegden zijn gekomen.

Nieuw wachtwoord

De getroffen zakelijke gebruikers worden door Google op de hoogte gesteld over de te ondernemen acties, waaronder het veranderen van de wachtwoorden. De wachtwoorden van bedrijven die deze niet uit zichzelf veranderen, reset Google naar eigen uit veiligheidsoverwegingen zeggen zelf.