Google lost bug in Chrome op die wachtwoorden deed verdwijnen

Er werd deze week een bug ontdekt in de wachtwoordmanager van Chrome voor Windows. Hierdoor kon een ‘aanzienlijk’ aantal gebruikers hun wachtwoorden niet meer terugvinden of opslaan. Google heeft inmiddels een fix uitgerold om de problemen op te lossen.

De problemen begonnen volgens de Amerikaanse techgigant op 24 juli, maar waren de dag erna alweer opgelost. Uit een eerste analyse blijkt dat er een feature guard in Google Chrome ontbrak waardoor de problemen konden ontstaan. Zo’n feature guard zorgt ervoor dat bepaalde functies in- of uitgeschakeld kunnen worden, ondanks het feit dat er wel code voor de functie in de software aanwezig is.

Google schrijft dat werknemers de bug hebben kunnen identificeren en dat er een fix is uitgerold. Dat gebeurde op 25 juli. De bug deed zich naar verluidt enkel voor op Chrome versie M127 voor Windows, en niet bij Chrome voor andere besturingssystemen. Volgens Google werd ongeveer twee procent van het kwart van de totale userbase van Chrome M127 voor Windows getroffen. Volgens Forbes gaat het om ongeveer 15 miljoen wereldwijde gebruikers.

Door Jay Stout

Redacteur

Feedback • 28-07-2024 09:18
33 • submitter: TheVivaldi

28-07-2024 • 09:18

33

Submitter: TheVivaldi

Lees meer

Bitwarden maakt gebruik van sdk met niet-vrije licentie in client - update
Bitwarden maakt gebruik van sdk met niet-vrije licentie in client - update Nieuws van 22 oktober 2024
Google verhelpt bug die Google Search-app voor Android deed crashen
Google verhelpt bug die Google Search-app voor Android deed crashen Nieuws van 15 september 2024
Testversie Chrome voor Android 15 kan gevoelige info verbergen bij schermdelen
Testversie Chrome voor Android 15 kan gevoelige info verbergen bij schermdelen Nieuws van 19 augustus 2024
Leaker deelt beelden en vermoedelijke prijs van nieuwe Google Nest-thermostaat
Leaker deelt beelden en vermoedelijke prijs van nieuwe Google Nest-thermostaat Nieuws van 29 juli 2024
Google fixt kwetsbaarheid in e-mailverificatiesysteem Google Workspace
Google fixt kwetsbaarheid in e-mailverificatiesysteem Google Workspace Nieuws van 29 juli 2024
Google Chrome past waarschuwingen voor mogelijk malafide downloads aan
Google Chrome past waarschuwingen voor mogelijk malafide downloads aan Nieuws van 25 juli 2024
Google stopt toch niet met thirdpartytrackingcookies in Chrome
Google stopt toch niet met thirdpartytrackingcookies in Chrome Nieuws van 23 juli 2024
Toezichthouder Italië onderzoekt Google voor misleidende toestemmingsverzoeken
Toezichthouder Italië onderzoekt Google voor misleidende toestemmingsverzoeken Nieuws van 18 juli 2024
Google stopt met experimentele Lacros-browser in ChromeOS
Google stopt met experimentele Lacros-browser in ChromeOS Nieuws van 15 juli 2024
'Google wil dat helft van iPhone-gebruikers tegen 2030 Chrome-app gebruikt'
'Google wil dat helft van iPhone-gebruikers tegen 2030 Chrome-app gebruikt' Nieuws van 7 juli 2024
Beveiligingsteam Chrome zegt vertrouwen in TLS-certificaten van Entrust op
Beveiligingsteam Chrome zegt vertrouwen in TLS-certificaten van Entrust op Nieuws van 28 juni 2024
Berekeningen in Google Sheets gaan dubbel zo snel, alleen in Chrome en Edge
Berekeningen in Google Sheets gaan dubbel zo snel, alleen in Chrome en Edge Nieuws van 27 juni 2024
Google werkt aan AI-functie voor Chrome om browsegeschiedenis te doorzoeken
Google werkt aan AI-functie voor Chrome om browsegeschiedenis te doorzoeken Nieuws van 17 juni 2024
ChromeOS krijgt Android-kernel en -frameworks
ChromeOS krijgt Android-kernel en -frameworks Nieuws van 13 juni 2024
Meer producten en artikelen
Browsers Google Microsoft Windows Chrome

Reacties (33)

-Moderatie-faq
33
29
18
0
0
4
Wijzig sortering
Antenne Bayern 28 juli 2024 09:20
Volgens Forbes gaat het om ongeveer 15 miljoen wereldwijde gebruikers.

Dat is nog best veel want Nederland is 17 Miljoen dus dit een flinke probleem dat Google heeft veroorzaakt.
watercoolertje
@Antenne Bayern28 juli 2024 09:51
Klinkt meer of je het erger wilt maken dan het is. Want je hebt het ook over 'flinke problemen', welke flinke problemen dan? Een passwordmanager was voor een klein deel van de gebruikers 17 uur en 51 minuten niet bruikbaar.

15 miljoen op meer dan 3 miljard (Chrome) gebruikers stelt niet zo veel voor (het aantal inwoners in NL dus ook niet). Dus 0.5% van de gebruikers heeft er maar last van kunnen hebben als ze die specifieke periode gebruik wilde maken van de passwordmanager.

[Reactie gewijzigd door watercoolertje op 28 juli 2024 09:56]

keejoz @watercoolertje28 juli 2024 09:59
Ik veronderstel dat de verdwenen data dan ook niet echt verdwenen was, en enkel niet toegankelijk was door de bug, en dat alles nu terug is?

Dat staat niet in het artikel.
watercoolertje
@keejoz28 juli 2024 10:00
Klopt er is niks weg, je kon zelfs opslaan (itt wat Tweakers er van maakt) je zag het alleen niet op dat moment, dus niemand is iets kwijt uit die passwordmanager.
R4gnax
@watercoolertje28 juli 2024 11:13
Uit het voorlopige incident report van Google zelf:
A significant number of users were unable to find or save passwords in the password manager for Chrome browser, for a period of 17 hours, 51 minutes.
Het probleem was ook niet dat de wachtwoordmanager helemaal weg was doordat per ongeluk een bestaande feature guard / feature flag uitgezet was, maar dat er nieuwe code met nieuw gedrag geintroduceerd was zonder dat deze van de juiste conditionele feature guard / flag voorzien was.

Maar goed; we gaan het zien. Volledige report moet nog komen.

[Reactie gewijzigd door R4gnax op 28 juli 2024 11:15]

TheVivaldi
@watercoolertje28 juli 2024 12:36
In het voorlopige rapport staat dat gebruikers ook niks konden opslaan. Dus wat Tweakers zegt klopt gewoon.
Olaf van der Spek @watercoolertje28 juli 2024 09:56
15 miljoen op meer dan 3 miljard (Chrome) gebruikers stelt niet zo veel voor
Gaat het om het totaal aantal gebruikers dat er last van heeft of gaat het om welk deel van de gebruikers er last van heeft?
watercoolertje
@Olaf van der Spek28 juli 2024 09:58
Approximately 2% of users out of the 25% of the entire user base where the configuration change was rolled out, experienced this issue.

[Reactie gewijzigd door watercoolertje op 28 juli 2024 10:03]

Erwin1967 28 juli 2024 19:15
Wat is het nut van een feature guard? Is het een opmaat naar een abonnementsvorm waar je voor een passwordmanager gaat betalen?
Tweeks @Erwin196728 juli 2024 22:58
Misschien voor als je de password manager wilt uitzetten omdat je een eigen hebt. Maar ik heb het idee dat het slechts om een feature binnen de password manager ging zonder flag/guard, niet om de hele module.
_Pussycat_ @Erwin196729 juli 2024 02:59
Er zijn twee opties:
1) Het is dat wat in het artikel staat, een schakelaar, zoals die er in Chrome voor duizend andere opties zijn.
2) We moeten gaan speculeren dat er een vreselijke samenzwering is, en het bewijs daarvoor is een woord wat je vandaag voor de eerste keer hoorde.

Misschien is het zinvol niet meteen de noodklok te luiden zonder te weten waar te klepel hangt.
jaapzb @Erwin196729 juli 2024 10:58
Feature flags of feature guards worden in de software wereld enorm veel gebruikt vaak om wijzigingen goed te kunnen testen. Chrome zit er waarschijnlijk helemaal vol mee. En heel veel andere softwareproducten die jij dagelijks gebruikt ook.

Stel je bijvoorbeeld voor dat de wachtwoordmanager een bepaalde encryptiefunctie gebruikt om de wachtwoorden op te slaan. En stel je voor dat deze functie is verouderd en relatief simpel gekraakt kan worden. De ontwikkelaar wil dus overschakelen naar een nieuwe functie. Maar, de oude functie is heel goed getest in de productieomgeving, terwijl de nieuwe functie dat niet is. Het kan dus best gebeuren dat bij het meteen overschakelen naar de nieuwe functie dingen stuk zullen gaan.

Dus als ontwikkelaar voeg je de nieuwe hashfunctie toe, maar achter een "feature flag". Als gebruikers deze nieuwe functie willen gebruiken, moeten ze zelf in de configuratie deze flag aanzetten. Zo kan je als ontwikkelaar in de productieomgeving makkelijk deze nieuwe functie (laten) testen, zonder al je gebruikers meteen over te schakelen naar die nieuwe functie.

Hier ging het dus fout doordat de nieuwe functionaliteit niet goed achter een feature flag "verstopt" zat. Wat precies het nut van het gebruik van feature flags onderstreept.

Dus nee dit is niet de opmaat naar een abbonementsform.

[Reactie gewijzigd door jaapzb op 29 juli 2024 10:59]

wildhagen
28 juli 2024 09:23
Slordig. Wordt er voor de release van een nieuwe versie niet grondig (genoeg) getest? Als, er een heel stuk functionaliteit ontbreekt, zoals die feature guard, moet dat iemand toch opvallen?

En de mensen die er last van hadden, hebben die na de bugfix alle wachtwoorden weer terug, of moeten zie die allemaal zelf opnieuw invoeren?
watercoolertje
@wildhagen28 juli 2024 09:53
En de mensen die er last van hadden, hebben die na de bugfix alle wachtwoorden weer terug, of moeten zie die allemaal zelf opnieuw invoeren?
Ze zijn niks kwijt, dit was het (enige) gevolg:
Customer Impact:
Impacted users were unable to find passwords in Chrome's password manager. Users can save passwords, however it was not visible to them. The impact was limited to the M127 version of Chrome Browser on the Windows platform.

[Reactie gewijzigd door watercoolertje op 28 juli 2024 09:55]

Blokker_1999
@wildhagen28 juli 2024 10:52
En altijd wel iemand die denkt dat je zomaar voor alle mogelijkheden kunt testen wanneer je software schrijft. Als je de details wenst te weten van hoe het is kunnen mislopen, enkele dagen wachten totdat Google zijn incident report klaar heeft over dit incident. Dan zullen we meer weten over wat er is misgelopen.
Frame164 @wildhagen28 juli 2024 10:02
Kan ik jou inhuren als tester? Jij weet blijkbaar hoe je alle fouten kunt vinden in een complex software product. Wat is jouw uurtarief?
Blokker_1999
@The Zep Man28 juli 2024 10:54
Ik denk niet dat deze bedrijven het testen onderwaarderen, in tegendeel zelfs. Je ziet alleen dat er altijd mensen zijn die denken dat je met testen elke fout, elk probleem kunt voorkomen. Maar gewoon al het feit dat hier slechts een fractie van de Chrome gebruikers getroffen werd toont alweer maar eens aan dat je weer aan een hele set vereisten zult moeten voldoen voordat je getroffen bent door deze bug. Het is onmogelijk om elk scenario te testen.
Yzord @Blokker_199928 juli 2024 11:12
Ik denk dat bedrijven dat wel doen heden ten dage. Of zijn we Crowdstrike na amper een week alweer vergeten?

Vooral in deze tijd waar hackers op de loer liggen en datadiefstal steeds meer toeneemt, mag je van een bedrijf als Google toch wel iets meer verwachten qua testing. Ze hebben het geld ervoor en het is niet dat met elke update ineens 100% nieuwe software wordt uitgerold. Het zijn allemaal features die met gemak fatsoenlijk getest kan worden. Al helemaal als het om wachtwoorden of andere gevoelige data gaat.
TheVivaldi
@Yzord28 juli 2024 11:16
Precies. Straks gaat @Blokker_1999 bugs als deze ook nog goedpraten: https://gizmodo.com/you-c...of-your-chrome-1847345637 Terwijl het daar zelfs 100% van de gebruikers betrof (er staat wel “some users”, maar dat verwijst naar de mensen die het gemeld hebben - Google erkende dat het een probleem bij iedereen was).

En nieuws: Microcodepatch gaat crashes bij reeds getroffen Intel-processors niet... zal ook wel een fout zijn die niet getest had kunnen worden voordat ze de processors verscheepten (het is immers een fout die niet met een softwarepatch kan worden opgelost). Tja, zo wordt het wel heel makkelijk om onder testen uit te komen.

[Reactie gewijzigd door TheVivaldi op 28 juli 2024 11:22]

EpicKip @Yzord29 juli 2024 09:50
Voor zover ik het begrijp gaat het hier om een andere feature (niet de password manager zelf) die is aangepast/toegevoegd. Je weet niet wat een aanpassing kan raken dus dan zal je toch bij een aanpassing alles moeten testen, en dat is gewoon niet haalbaar bij elke release.

Helemaal in dit geval waar het zo'n klein deel van de users treft, je moet dus een hele specifieke setup hebben om dit probleem te krijgen, moet google dan alle mogelijke systeem/configuratie combinaties gaan testen? Ik denk dat dat een stuk meer geld kost dan eventuele shade (bij klanten, reputatie ed.) die helemaal niet van toepassing is bij de meeste updates.

[Reactie gewijzigd door EpicKip op 29 juli 2024 09:50]

Pietervs @Blokker_199928 juli 2024 11:35
Dat het onmogelijk is om elk scenario te testen ben ik met je eens.

Maar dit is standaard functionaliteit waar eerder al een knopje voor bestond dat nu weggevallen was. En dan vind ik de vraag of het testen niet beter kan wel terecht: het minimale dat je zou verwachten dat er getest wordt is dat er een keer op alle zichtbare knoppen gedrukt wordt voor er een release gedaan wordt. Dan zou het toch op moeten vallen dat er een knop ontbreekt of niet werkt. :)
TheVivaldi
@The Zep Man28 juli 2024 11:00
Waarom zou je @wildhagen willen inhuren als tester en niet professionals op dit gebied?
Hoe weet je dat wildhagen geen professional op dit gebied is?
Tenebris @mrjixies28 juli 2024 09:57
Volgens mij betaal je anders riant met je persoonsgegevens
RCBL @Tenebris28 juli 2024 11:39
Die je vrijwillig levert aan hen...Je bent namelijk niet verplicht een Google account aan te maken.

[Reactie gewijzigd door RCBL op 28 juli 2024 13:20]

keejoz @mrjixies28 juli 2024 10:00
En dan? Maakt dat het OK?
The Zep Man
@mrjixies28 juli 2024 10:37
Iets is niet gratis als de gebruiker met persoonsgegevens betaalt.
RCBL @The Zep Man28 juli 2024 11:40
Ook voor jou, dat doe je toch echt zelf...

Om het even nader te duiden: Niemand verplicht jou om een Google account aan te maken

[Reactie gewijzigd door RCBL op 28 juli 2024 13:21]

Armselig @RCBL28 juli 2024 20:43
Als je een youtube account wil maken om bijvoorbeeld playlists te maken, of om video's te kijken die geflagged zijn voor volwassenen, moet je er toch echt aan geloven.

Dus nee je bent niet verplicht, maar je hebt geen keus.
mutley69 28 juli 2024 17:31
Die stortvloed aan versies - moet dit echt? Het is een stortvloed aan bugs in plaats van de gebruikers wat stabiliteit te geven. Dit is gewoon big-tech waanzin!

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq