G-SUITE armazenou senha de usuários corporativos em claro por 14 anos. Depois do Facebook e do Twitter, o Google se torna o mais recente gigante da tecnologia a armazenar acidentalmente as senhas de seus usuários desprotegidas em texto puro em seus servidores – o que significa que qualquer funcionário do Google que tenha acesso aos servidores poderia lê-las.
Em um post publicado no dia 21 de maio, o Google revelou que sua plataforma do G Suite armazenou por engano senhas sem hash de alguns de seus usuários corporativos em servidores em texto puro por 14 anos por causa de um bug no recurso de recuperação de senha.
“A política do Google é armazenar suas senhas com hashes criptográficos que mascaram essas senhas para garantir sua segurança. No entanto, notificamos recentemente um subconjunto dos nossos clientes empresariais do G Suite de que algumas palavras-passe foram armazenadas nos nossos sistemas internos encriptados, sem serem concluídas. Este é um problema do G Suite que afeta apenas os usuários corporativos – nenhuma conta do Google para consumidores livres foi afetada – e estamos trabalhando com administradores corporativos para garantir que seus usuários redefinam suas senhas. Temos conduzido uma investigação completa e não vimos nenhuma evidência de acesso indevido ou uso indevido das credenciais do G Suite afetadas.” afirma o comunicado da Google.
O G Suite, anteriormente conhecido como Google Apps, é uma coleção de ferramentas de computação em nuvem, produtividade e colaboração que foram projetadas para usuários corporativos com hospedagem de e-mail para seus negócios.
É basicamente uma versão comercial de tudo que o Google oferece.
A falha, agora corrigida, residia no mecanismo de recuperação de senha dos clientes do G Suite que permite que os administradores façam upload ou definam senhas manualmente para qualquer usuário de seu domínio sem saber suas senhas anteriores para ajudar as empresas a fazerem o processo de “on-boarding” do funcionário ou para o processo de recuperação de contas.
Se os administradores fizessem o reset da senha, o console de administração armazenaria uma cópia dessas senhas em texto simples em vez de criptografá-las, revelou o Google.
“Nós cometemos um erro ao implementar essa funcionalidade em 2005: o console de administração armazenou uma cópia da senha sem hash“, diz o Google.
No entanto, o Google também diz que as senhas de texto simples não foram armazenadas na Internet aberta, mas em seus próprios servidores criptografados e que a empresa não encontrou nenhuma evidência de que a senha de alguém tenha sido acessada indevidamente.
“Essa prática não correspondeu aos nossos padrões. Para ser claro, essas senhas permaneceram em nossa infra-estrutura criptografada segura“, diz o Google. “Este problema foi corrigido e não vimos nenhuma evidência de acesso indevido ou uso indevido das senhas afetadas.“
O Google também esclareceu que o bug estava restrito aos usuários de seus aplicativos do G Suite para empresas e que nenhuma versão gratuita de contas do Google, como o Gmail, foi afetada.
Embora a empresa não tenha divulgado quantos usuários foram afetados por esse bug além de apenas dizer que o problema afetou “um subconjunto de nossos clientes corporativos do G Suite“, com mais de 5 milhões de clientes corporativos do G Suite, o bug pode afetar um grande número de usuários – presumivelmente, qualquer usuário que usou o G Suite nos últimos 14 anos.
Para resolver o problema, o Google removeu a capacidade dos administradores do G Suite e enviou uma lista de usuários impactados por e-mail, solicitando que eles garantissem que esses usuários redefinissem suas senhas.
O Google diz que a empresa estaria automaticamente redefinindo senhas para aqueles usuários que não mudam suas senhas.
“Com muita cautela, vamos redefinir as contas que não foram feitas por conta própria“, diz o gigante da tecnologia.
O Google é a mais recente empresa de tecnologia a armazenar acidentalmente senhas sem hash em seus servidores internos. Recentemente, o Facebook esteve no noticiário por armazenar senhas em texto puro para centenas de milhões de usuários, tanto do Instagram quanto do Facebook, em seus servidores internos.
Quase um ano atrás, o Twitter também relatou um bug de segurança similar que acidentalmente expôs senhas para seus 330 milhões de usuários em texto legível em seu sistema interno de computador.
Minha empresa foi impactada?
A notificação do Google afirma que notificou os administradores do G Suite para alterar essas senhas afetadas. Segundo ele “foi de uma abundância de cautela, vamos redefinir as contas que não fizeram por si próprios”. A Google afirma que seus sistemas de autenticação operam com muitas camadas de defesa além da senha e que foram implantados vários sistemas automáticos que bloqueiam tentativas de login mal-intencionado, mesmo quando o invasor conhece a senha.
Além disso, o Google completa dizendo que “fornecemos aos administradores do G Suite inúmeras opções de verificação em duas etapas (2SV) , incluindo chaves de segurança , nas quais o Google confia para suas próprias contas de funcionários.“
O Google finaliza dizendo que “Nós levamos a segurança de nossos clientes corporativos extremamente a sério e nos orgulhamos de promover as melhores práticas do setor para segurança de contas. Aqui não cumprimos os nossos próprios padrões nem os dos nossos clientes. Pedimos desculpas aos nossos usuários e faremos melhor.”
Fonte: The Hacker News & Google
Veja também:
- CrowdStrike aterriza no Brasil com o melhor Next Generation AV do mercado!
- CrowdStrike expande presença internacional para atender à crescente demanda do cliente
- A hora de racionalizar as camadas de proteção de segurança
- Japan restringe capital estrangeiros em indústrias de tecnologias nacionais
- Estudo aponta que 23,2 Milhões usam 123456 como senha e outros 7,7 Mi usam 123456789
- Laptop com 6 malwares é leiloado por US $ 1,2 milhão no EUA
- Dados de 49 Milhões de usuários do Instagram expostos online
- Fabricantes de antivírus teriam sido hackeadas e exposto seus códigos
- CEOs ganham mais após empresas sofrerem Ciberataques
- Vulnerabilidade de execução remota de código “Wormable” crítica no Windows RDP
- EUA declara Emergência Nacional e fecha as portas para a Huawei
- Site da Associação Brasileira para Desenvolvimento de Atividades Nucleares (Abdan) foi hackeada
- Nova falha em processadores Intel permite acesso a dados sensíveis dos usuários
- Vulnerabilidade do WhatsApp expõe 1,5 bilhão de telefones
Deixe sua opinião!