Depois do Facebook e do Twitter, o Google se torna o mais recente gigante da tecnologia a armazenar acidentalmente as senhas de seus usuários desprotegidas em texto puro em seus servidores – o que significa que qualquer funcionário do Google que tenha acesso aos servidores poderia lê-las.
Em um post publicado na terça-feira, o Google revelou que sua plataforma do G Suite armazenou por engano senhas sem hash de alguns de seus usuários corporativos em servidores em texto puro por 14 anos por causa de um bug no recurso de recuperação de senha.
O G Suite, anteriormente conhecido como Google Apps, é uma coleção de ferramentas de computação em nuvem, produtividade e colaboração que foram projetadas para usuários corporativos com hospedagem de e-mail para seus negócios.
É basicamente uma versão comercial de tudo que o Google oferece.
A falha, agora corrigida, residia no mecanismo de recuperação de senha dos clientes do G Suite que permite que os administradores da empresa façam upload ou definam senhas manualmente para qualquer usuário de seu domínio sem saber suas senhas anteriores para ajudar as empresas a fazerem parte do processo. funcionários e para recuperação de contas.
Se os administradores redefinissem, o console de administração armazenaria uma cópia dessas senhas em texto simples em vez de criptografá-las, revelou o Google.
“Nós cometemos um erro ao implementar essa funcionalidade em 2005: o console de administração armazenou uma cópia da senha sem hash”, diz o Google.
No entanto, o Google também diz que as senhas de texto simples não foram armazenadas na Internet aberta, mas em seus próprios servidores criptografados e que a empresa não encontrou nenhuma evidência de que a senha de alguém seja acessada indevidamente.
“Essa prática não correspondeu aos nossos padrões. Para ser claro, essas senhas permaneceram em nossa infra-estrutura criptografada segura”, diz o Google.
“Este problema foi corrigido e não vimos nenhuma evidência de acesso indevido ou uso indevido das senhas afetadas.”
O Google também esclarece que o bug estava restrito aos usuários de seus aplicativos do G Suite para empresas e que nenhuma versão gratuita de contas do Google, como o Gmail, foi afetada.
Embora a empresa não tenha divulgado quantos usuários foram afetados por esse bug além de apenas dizer que o problema afetou “um subconjunto de nossos clientes corporativos do G Suite”, com mais de 5 milhões de clientes corporativos do G Suite, o bug pode afetar um grande número de usuários – presumivelmente, qualquer usuário que usou o G Suite nos últimos 14 anos.
Para resolver o problema, o Google removeu a capacidade dos administradores do G Suite e enviou uma lista de usuários impactados por e-mail, solicitando que eles garantissem que esses usuários redefinissem suas senhas.
O Google diz que a empresa estaria automaticamente redefinindo senhas para aqueles usuários que não mudam suas senhas.
“Com muita cautela, vamos redefinir as contas que não foram feitas por conta própria”, diz o gigante da tecnologia.
O Google é a mais recente empresa de tecnologia a armazenar acidentalmente senhas sem hash em seus servidores internos. Recentemente, o Facebook esteve no noticiário por armazenar senhas em texto puro para centenas de milhões de usuários, tanto doInstagram quanto do Facebook, em seus servidores internos.
Quase um ano atrás, o Twitter também relatou um bug de segurança similar que acidentalmente expôs senhas para seus 330 milhões de usuários em texto legível em seu sistema interno de computador.
Fonte: The Hacker News