Google ma taką przypadłość, że przy okazji aktualizowania aplikacji, nieraz zmienia użytkownikom ustawienia. Nie ma pewności, czy w tym przypadku, feralne ustawienie aktywowało się bez wiedzy użytkownika, aczkolwiek nie jest to wykluczone.

Firma stojąca za YouTube, Androidem czy przeglądarką Chrome dość często aktualizuje swoje produkty. W nowych wersjach popularnych aplikacji i systemów najczęściej rozwiązuje się zgłoszone przez użytkowników problemy oraz dodaje nowe funkcje. Niestety dość często zdarza się też, że uaktualniony program otwiera się ze zmienionymi ustawieniami.

Zwykle takie niechciane modyfikacje są nieszkodliwe i mogą powodować co najwyżej niezadowolenie i kosztować kilka lub czasem kilkanaście minut czasu potrzebnego do odnalezienia włączonej albo wyłączonej funkcji w przebudowanym menu. W przypadku Google Chrome, skutki niesprawdzenia domyślnych (lub nieświadomie aktywowanych) ustawień mogą być opłakane. Użytkownik Reddita, który korzystał z managera haseł od Google przekonał się o tym na własnej skórze.

Przeglądarka Chrome może permanentnie usunąć hasła zapisane w Google Password Manager.

Jeden z użytkowników Reddit’a, świadomy w kwestiach bezpieczeństwa w sieci używał managera haseł oraz metod dwuskładnikowego logowania (2FA) za pomocą jednorazowych kodów.  Takie zachowanie należy chwalić i ja też zawsze powtarzam znajomym i rodzinie: używajcie managerów do zapisywania (silnych!) haseł i 2FA gdzie tylko to możliwe. Niestety, przypadek, który zaraz opiszę jest naprawdę przerażający i pokazuje, jak ważne jest posiadanie back-up’u każdego istotnego zasobu cyfrowego, najlepiej offline.

Google Password Manager – Seriously Google?
byu/harish9294 inGooglePixel

Przejdźmy jednak do sedna. Autor powyższego posta do pewnego czasu korzystał z aplikacji Bitwarden oraz autentykatora 2FA Authy. Rozwiązanie to sprawdzało się całkiem dobrze, ale przy okazji przesiadki na smartfon Google Pixel 7 Pro, użytkownik postanowił wejść głębiej w ekosystem Google i przeniósł swoje hasła do programu dostarczonego przez producenta smartfona. Google Password Manager na telefonie z Androidem przy codziennym używaniu przeglądarki Chrome wydawał się idealnym rozwiązaniem. Niestety do czasu, gdy z powodu ociężałej pracy tego ostatniego programu, użytkownik postanowił wyczyścić dane przeglądania. Przy wykonaniu tej standardowej dla przeglądarki operacji wraz z cookiesami i innymi plikami tymczasowymi, wyczyszczone zostały wszystkie hasła zapisane w Google Password Manager. 

Koniec ery haseł? Google chwali się 400 milionami kont

Po sprawdzeniu ustawień zaawansowanych dotyczących czyszczenia pamięci okazało się, że zaznaczony był checkbox „Zapisane hasła”, co samo w sobie jest typową opcją w kontekście przeglądarki, ale w tym przypadku o zgrozo okazało się, że nie chodzi o hasła zapisane w pamięci Google Chrome, ale o wyczyszczenie danych logowania przechowywanych w Google Password Manager. Autor posta na Redditcie twierdzi, że ustawienie było domyślnie włączone, ale komentujący wpis pisali, że w ich przypadku ta opcja jest nieaktywna. Niemniej jednak opisana sytuacja została oficjalnym kanałem zgłoszona deweloperom pracującym nad przeglądarką.

Usunięcie haseł w Google Chrome
Zgłoszenie błędu

 

Google wie już o problemie i zgodnie z treścią ostatniego z komentarzy w wątku dotyczącym tej sprawy, błąd zostanie naprawiony, chociaż nie wiemy jeszcze kiedy to nastąpi. Losy zgłoszenia możecie śledzić tutaj. Użytkownik Reddita w związku z zaistniałą sytuacją, skontaktował się z Google i jak przekazał w swoim poście,  pracownik zespołu wsparcia potwierdził, że hasła usunięte z Google Password Manager są nie do odzyskania. To akurat dobra wiadomość, bo gdyby było inaczej, zachodziłyby wątpliwości co do poziomu bezpieczeństwa przechowywania haseł w tym narzędziu. Ostatnim pozytywnym akcentem tej historii jest fakt, że autor posta dodał, iż nie usunął danych z aplikacji Bitwarden, w związku z tym, mógł z tej kopii zapasowej skorzystać i ostatecznie nie stracić dostępu do aplikacji i kont w serwisach internetowych.

Jeśli korzystacie z Google Chrome oraz Google Password Manager i nie macie ochoty na przeżycie podobnych perypetii, sprawdźcie ustawienia usuwania danych przeglądania. Kluczowe jest zaznaczone na powyższym zrzucie ekranu „Zapisane hasła”. Aby dojść do tego miejsca, w oknie programu należy dotknąć ikony trzech kropek, następnie „Wyczyść dane przeglądania” – „Więcej opcji”. I pamiętajcie, aby zawsze mieć co najmniej jedną kopię zapasową istotnych plików, przechowywaną w innej lokalizacji niż jej pierwotna wersja.

W mojej ocenie głównym problemem w tej sprawie jest to, że usunięcie danych przeglądania w Chrome może usunąć hasła zapisane w innej aplikacji, czego użytkownik zapewne nie jest świadomy, zwłaszcza w kontekście usuwania danych z ostatnich 15 minut. Bez względu na to, czy opcja „zapisane hasła” była włączona domyślnie, czy nie, korzystający z przeglądarki powinien zobaczyć ostrzeżenie, mówiące o tym, że usuwając dane z określonego zakresu czasu (np. rzeczonego kwadransa), usuwa także wszystkie zapisane kiedykolwiek hasła.