In einer E-Mail an Nutzer gab Google bekannt, dass man jüngst einen Fehler entdeckt habe, der dazu führte, dass Passwörter einiger Benutzer der G-Suite im Klartext gespeichert wurden. Der Fehler ist seit 2005 existent, obwohl Google mitteilt, dass man keine Hinweise dafür habe, dass auf das Passwort von jemandem unsachgemäß zugegriffen wurde. Es geht darum, alle möglicherweise betroffenen Passwörter zurückzusetzen und die G-Suite-Administratoren über das Problem zu informieren.

G Suite ist die Firmenversion von Google Kalender, Google Mail und den anderen Apps von Google, und anscheinend ist der Fehler in diesem Produkt aufgrund einer speziell für Unternehmen entwickelten Funktion entstanden. Google teilt in der Mail wie folgt mit: „…dass aufgrund der Legacy-Funktionalität, die es den Kunden-Domainadministratoren ermöglichte, Passwörter einzusehen, einige der Passwörter Ihrer Benutzer in unseren verschlüsselten Systemen in einem nicht gehaschten Format gespeichert wurden. Dies betraf in erster Linie systemseitig generierte oder vom Administrator generierte Passwörter, die für den einmaligen Gebrauch bestimmt waren.“

Sollte das Passwort für den Nutzer nicht geändert werden, so wird Google heute damit beginnen, eine Passwortänderung zu erzwingen:

Our password update methodology is as follows:

Users With Single Sign On: We will reset their password by changing it to a randomly generated secure value. Please note that this will have no effect on their ability to log in using their Single Sign On credentials.

We will reset their password by changing it to a randomly generated secure value. Please note that this will have no effect on their ability to log in using their Single Sign On credentials. Other Users and Super Admins: We will terminate their sessions and prompt users to change their password at their next login.

We will terminate their sessions and prompt users to change their password at their next login. In addition, starting Wednesday, May 29, 2019 PT we will reset the password for users that have not yet selected a new password or have not had a password reset. These users will need to follow your organization’s password recovery process. Super Admins will not be impacted. For information on password recovery options please refer to the following Help Center Article.

Danke Christian!