Chromes passord-lagring krasja for 15 millioner brukere

Ja, det er praktisk. Men det er også utrolig sårbart, fikk Chrome-brukere erfare etter oppdateringen.

Rundt 15 millioner brukere av passordtjenesten til Google ble låst ute i nesten 18 timer sist uke. Feilen blir nå forklart med at «produktet endret adferd, uten at det ble hindret». Bildet er fra utsiden av Googles lokaler på Manhattan. 📸: Gina M Randazzo / ZUMA Press Wire / Shutterstock / NTB
Rundt 15 millioner brukere av passordtjenesten til Google ble låst ute i nesten 18 timer sist uke. Feilen blir nå forklart med at «produktet endret adferd, uten at det ble hindret». Bildet er fra utsiden av Googles lokaler på Manhattan. 📸: Gina M Randazzo / ZUMA Press Wire / Shutterstock / NTB Vis mer

Unike passord for hver nettside og tjeneste.

Store og små bokstaver, tall og spesialtegn.

Selv de av oss som er best på å huske ting, vil etterhvert slite med å huske alt av passord. Derfor er det en del som tyr til passordtjenester.

Og hva er vel lettere enn å bruke den som kommer med nettleseren? Sånn rent bortsett fra at du er i trøbbel hvis løsningen krasjer.

Og det var det som rammet en rekke brukere av løsningen som kommer med Google Chrome. Hele 15 millioner brukere, ifølge PC World.

Rammet 15 millioner

Feilen varte i nesten 18 timer, mellom 24. og 25. juli, og påvirket brukere i hele verden. Problemet oppsto etter at nettleseren ble oppdatert, og ifølge Google rammet det brukere som har M127-versjonen, på en Windows-maskin.

Ifølge Google selv skal rundt 25 prosent av brukerne av Chrome ha mottatt oppdateringen. Av disse skal rundt to prosent ha opplevd problemet.

«The root cause of the issue is a change in product behavior without proper feature guard», skriver Google om årsaken.

Altså at produktet endret adferd, uten at det ble hindret. Oppdateringen skal i følge Forbes ikke ha vært tiltenkt å berøre passordtjenesten.

Dette skal ha skjedd under en uke etter at mer enn 8,5 millioner datamaskiner gikk ned for telling etter en mislykket oppdaterting fra Crowdstrike.

Omgikk verifiseringsløsning

Google har også slitt med et annet problem den siste uka. Ifølge bloggen KrebsOnSecurity skal det ha vært mulig å omgå verifiseringsløsningen for e-post. Dette blir også bekreftet av Google.

Anu Yamunan har ansvar for sikkerhet og hindre misbruk tilknyttet Google Workplace. Hun sier til Krebs at aktiviteten skal ha pågått siden slutten av juni, og berørt «noen få tusen» kontoer som er blitt opprettet på Workplace, uten at de er verifisert gjennom riktig domene.

Ifølge Yamunan skal kontoene ha blitt brukt til å forsøke å utgi seg for å skaffe tilgang til andre digitale tjenester, men ikke til å misbruke Googles egne løsninger.

Feilen skal ha blitt utbedret innen 72 timer etter at den ble oppdaget.