Setelah Facebook dan Twitter, Google menjadi raksasa teknologi terbaru yang secara tidak sengaja menyimpan kata sandi penggunanya tanpa perlindungan dalam plaintext di servernya — artinya setiap karyawan Google yang memiliki akses ke server dapat membacanya.
Dalam sebuah posting blog yang diterbitkan Selasa, Google mengungkapkan bahwa platform G Suite-nya secara keliru menyimpan kata sandi yang tidak rusak dari beberapa pengguna perusahaan di server internal dalam plaintext selama 14 tahun karena bug dalam fitur pemulihan kata sandi.
G Suite, yang sebelumnya dikenal sebagai Google Apps, adalah kumpulan alat komputasi awan, produktivitas, dan kolaborasi yang telah dirancang untuk pengguna korporat dengan hosting email untuk bisnis mereka.
Ini pada dasarnya adalah versi bisnis dari semua yang ditawarkan Google.
Cacat, yang sekarang telah ditambal, berada dalam mekanisme pemulihan kata sandi untuk pelanggan G Suite yang memungkinkan administrator perusahaan untuk mengunggah atau secara manual mengatur kata sandi untuk setiap pengguna domain mereka tanpa benar-benar mengetahui kata sandi mereka sebelumnya untuk membantu bisnis dengan on-boarding karyawan dan untuk pemulihan akun.
Jika admin melakukan reset, konsol admin akan menyimpan salinan kata sandi tersebut dalam teks biasa alih-alih mengenkripsi mereka, Google mengungkapkan.
"Kami membuat kesalahan ketika menerapkan fungsi ini kembali pada 2005: Konsol admin menyimpan salinan kata sandi yang tidak rusak," kata Google.
Namun, Google juga mengatakan bahwa kata sandi teks biasa disimpan bukan di Internet terbuka tetapi di server terenkripsi yang aman dan bahwa perusahaan tidak menemukan bukti kata sandi siapa pun diakses dengan tidak semestinya.
"Praktik ini tidak memenuhi standar kami. Yang jelas, kata sandi ini tetap dalam infrastruktur terenkripsi kami yang aman," kata Google. "Masalah ini telah diperbaiki, dan kami tidak melihat bukti akses yang tidak tepat atau penyalahgunaan kata sandi yang terpengaruh."
Google juga mengklarifikasi bahwa bug tersebut terbatas pada pengguna aplikasi G Suite untuk bisnis dan tidak ada versi gratis dari akun Google seperti Gmail yang terpengaruh.
Meskipun perusahaan tidak mengungkapkan berapa banyak pengguna yang mungkin terpengaruh oleh bug ini selain hanya mengatakan bahwa masalahnya memengaruhi "sebagian pelanggan G Suite perusahaan kami," dengan lebih dari 5 juta pelanggan perusahaan G Suite, bug tersebut dapat memengaruhi sejumlah besar pengguna - mungkin setiap pengguna yang menggunakan G Suite dalam 14 tahun terakhir.
Untuk mengatasi masalah ini, Google sejak itu menghapus kapabilitas dari administrator G Suite dan mengirimi mereka email daftar pengguna yang terpengaruh, meminta mereka untuk memastikan bahwa pengguna tersebut mereset kata sandi mereka.
Google mengatakan perusahaan akan secara otomatis mengatur ulang kata sandi untuk pengguna yang tidak mengubah kata sandi mereka.
"Karena sangat berhati-hati, kami akan mengatur ulang akun yang belum melakukannya sendiri," kata raksasa teknologi itu.
Google adalah perusahaan teknologi terbaru yang secara tidak sengaja menyimpan kata sandi yang tidak rusak di server internal. Baru-baru ini, Facebook menjadi berita untuk menyimpan kata sandi plaintext untuk ratusan juta penggunanya, baik Instagram dan Facebook, di server internal.
Hampir setahun yang lalu, Twitter juga melaporkan bug keamanan serupa yang secara tidak sengaja mengekspos kata sandi untuk 330 juta penggunanya dalam teks yang dapat dibaca pada sistem komputer internalnya.
Sumber Artikel TheHackerNews
