Google Sicherheitsthemen: G Suite-Passwortspeicherung im Klartext; DSGVO-Untersuchung und mehr

Publiziert am 23. Mai 2019 von Günter Born

Google gestand kürzlich ein, Kennwörter von G Suite-Konten versehentlich im Klartext gespeichert zu haben. Zudem scheint jetzt eine Untersuchung auf Verletzung der Datenschutzgrundverordnung (DSGVO) bei irischen Aufsichtsbehörden anzulaufen. Weiterhin sind mir zwei Untersuchungen von Google und einer Universität bezüglich Kontensicherheit und Hacker as a service in die Finger gefallen.

Anzeige

Es sind zwar unabhängige Themen, ich fasse diese aber in einem Blog-Beitrag zusammen, da diese die Datensicherheit und den Datenschutz tangieren.

Irische Datenschützer prüfen Google DSGVO-Verletzungen

Wir haben nun fast ein Jahr die Datenschutzgrundverordnung (DSGVO) oder General Data Protection Regulation (GDPR) innerhalb der EU. In einem längst überfälligen Schritt wird Google nun einer GDPR-Untersuchung des irischen Datenschutzbeauftragten unterzogen, wie The Verge hier schreibt.

Die Untersuchung wurde durch eine Beschwerde der Entwickler des Brave-Browsers ausgelöst. Die Datenschützer sollen untersuchen, wie Google mit personenbezogenen Daten in seinem Ad Tracking-System umgeht. Brave argumentiert, dass Google während des Ad-Tracking-Prozesses gegen die GDPR-Vorschriften verstößt, indem es personenbezogene Daten an Drittunternehmen weitergibt.

Passwörter der G-Suite im Klartext gespeichert

Googles G-Suite bietet ja verschiedene Funktionen für zahlende Unternehmenskunden, wobei es wohl 5 Millionen Kunden gibt. Techcrunch berichtet hier, dass Google einen Fehler in der Speicherung von Kennwörtern für Konten dieser G Suite eingestehen musste. Seit 2005 wurden wohl Kennwörter für einige Konten unbeabsichtigt im Klartext gespeichert.

Google legte das Ganze wohl letzten Dienstag offen, weigerte sich aber, genau zu sagen, wie viele Unternehmenskunden betroffen waren. "Wir haben kürzlich eine Teilmenge unserer Kunden der Enterprise G Suite darüber informiert, dass einige Passwörter unverschlüsselt in unseren verschlüsselten internen Systemen gespeichert wurden", sagte Google Vice President of Engineering Suzanne Frey.

Passwörter werden typischerweise mit einem Hash-Algorithmus verschlüsselt, um zu verhindern, dass sie von Menschen gelesen werden. G-Suite Administratoren sind in der Lage, neue Benutzerpasswörter für Unternehmensbenutzer manuell hochzuladen, zu setzen und wiederherzustellen. Aber hat wohl im April festgestellt, dass Funktionen zur Passworteinstellung und -wiederherstellung für seine an Unternehmen gerichtete G Suite seit der Implementierung der im Jahr 2005 fehlerhaft war und eine Kopie des Passworts unsachgemäß im im Klartext gespeichert wurde.

Google hat Anfang dieses Monats einen zweiten Sicherheitsfehler entdeckt, als es eine Fehleranalyse in Funktionen zur Anmeldung neuer Kunden der G-Suite untersuchte. Seit Januar wurde wohl eine Teilmenge von nicht gehashten G-Suite-Passwörtern bis zu zwei Wochen lang unsachgemäß auf seinen internen Systemen speichert. Diese Systeme, so Google, seien nur für eine begrenzte Anzahl von autorisierten Google-Mitarbeitern zugänglich, sagte das Unternehmen.

"Um das klarzustellen, diese Passwörter blieben in unserer sicheren verschlüsselten Infrastruktur", sagte Frey. "Dieses Problem wurde behoben und wir haben keine Beweise für unsachgemäßen Zugriff auf oder Missbrauch der betroffenen Passwörter gefunden."

Anzeige

Gmail-Konten, die auch von Privatnutzern kostenlos verwendet und bei jedem Android-Gerät angelegt werden, waren übrigens nicht betroffen. Google hat diese Schwachstellen in seiner G-Suite entfernt.

Google: Konten-Hygiene verhindert Hijacking

Im Google Security Blog findet sich ein interessanter Artikel mit Erkenntnissen zum Risiko, dass Google-Konten durch Dritte gekapert werden.  Jeden Tag schützt Google Benutzerkonten vor Hunderttausenden von Angriffen, die den Zugang knacken wollen. Die meisten Angriffe stammen von automatisierten Bots mit Zugriff auf Passwortlisten, die über Hacks Dritter erbeutet wurden. Hinzu kommen Phishing-Versuche und gezielte Angriffe.

Anfang 2019 Jahres habt Google einen Ansatz vorgeschlagen, wie nur fünf einfache Schritte wie das Hinzufügen einer Recovery-Rufnummer dazu beitragen können, dass Konten vor einem Hijacking sicher sind. Das wollten die Sicherheitsforscher in der Praxis beweisen. Daher hat sich Google mit mit Forschern der New York University und der University of California, San Diego, zusammengetan. Ziel war es, herauszufinden, wie effektiv die grundlegende Kontohygiene ist, um Konten-Hijacking zu verhindern. Die einjährige Studie über wide-scale Angriffe und gezielte Angriffe wurde auf The Web Conference vorgestellt.

Die Studie zeigt, dass das einfache Hinzufügen einer Recovery-Telefonnummer zu einem Google-Konto bis zu 100% der automatisierten Bots, 99% der Bulk-Phishing-Angriffe und 66% der gezielten Angriffe blockieren kann, die während der Untersuchung aufgetreten sind. Details lassen sich bei Interesse hier nachlesen.

Hacker as a service: Mehr Betrug als Substanz

Interessante Geschichte: Es gibt ja angeblich 'Miet-Hacker', sprich Angebote von Hackern als Dienstleistung (Hacker as a service). Auftraggeber können diese dann gegen Bezahlung für verschiedene Dienstleistung anmieten. Und wo wird am meisten betrogen? Im zwielichtigen Gewerbe, wo man Betrug schlecht anzeigen kann.

Online verfügbare Dienstleistungen (Hacker-for-hire) sind meist Betrug und ineffektiv. Das ergaben neuer Forschungen die von Google und Akademikern der University of California, San Diego, vorgestellt wurden.

"Mit einzigartigen Online-Käuferpersönlichkeiten haben wir uns direkt mit 27 solchen Anbietern von Hacking-Diensten in Verbindung gesetzt und sie gefragt, ob sie Opfer-Accounts unserer Wahl gefährden könnten", sagten die Forscher.

Diese Opfer wiederum waren "Honey Pot"-Gmail-Konten, die in Abstimmung mit Google betrieben wurden. Ziel war es, wichtige Interaktionen mit dem 'Opfer' sowie mit anderen gefälschten Aspekten ihrer von den Wissenschaftlern erstellten Online-Persönlichkeiten aufzuzeichnen (z.B. Business Webserver, E-Mail-Adressen von Freunden oder Partnern)".

Ergebnis der Studie: Von den 27 kontaktierten Hacking-Diensten haben10 nie auf die Anfragen geantwortet. Es gab 12 Antworten, aber diese Dienste haben nie wirklich versucht, einen Angriff durchzuführen. Von den 12, die geantwortet, aber nie irgendwelche Angriffe gestartet haben, teilten neun mit, dass sie nicht mehr Gmail-Konten hacken würden. Die anderen drei Dienste scheinen rein auf Betrug aus zu sein.

Lediglich fünf kontaktierte Dienste führten zu Angriffen gegen die Test Gmail-Konten. Insgesamt eine magere Ausbeute aus Sicht der Auftraggeber. Bei Interesse, ZDNet.com hat einen ausführlicheren Artikel zum Thema (Englisch) verfasst. Ergänzung: Gerade gesehen, dass meine Redakteurin bei heise diesen deutschsprachigen Beitrag veröffentlicht hat.

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu Google Sicherheitsthemen: G Suite-Passwortspeicherung im Klartext; DSGVO-Untersuchung und mehr

  1. ralf sagt:
    27. Juni 2019 um 19:59 Uhr

    noch ein google bezogenes sicherheitsthema.

    GOLEM:
    "Google möchte die Apps im Play Store automatisch optimieren – braucht dazu aber Zugriff auf die Singierschlüssel der App-Entwickler… Hierdurch könnte Google allerdings auch… eine Version für bestimmte Play-Store-Kunden generieren, die eine Hintertüre enthält."
    https://www.golem.de/news/android-play-store-google-moechte-die-signierschluessel-der-app-entwickler-1906-142202.html

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.