Google armazenou senhas do G Suite por 14 anos

Google revelou que descobriu recentemente um bug que fazia com que um subconjunto de clientes corporativos do G Suite guardasse suas senhas num formulário, ainda que criptografado, por cerca de 14 anos.

“Este é um problema apenas para usuários do G Suite – nenhuma conta do consumidor livre foi afetada – e estamos a trabalhar com administradores corporativos para garantir que seus usuários redefinam suas senhas”, disse o Google num post divulgando o lapso de segurança.

A empresa não conseguiu especificar exatamente quantos clientes foram afetados dessa maneira. No entanto, continuou enfatizando que não encontrou nenhuma evidência de acesso indevido.

G Suite é a versão corporativa do Gmail para o Gmail e aplicativos como o Drive, Docs e o Hangouts, entre outros. Em fevereiro deste ano, a Google anunciou que tinha mais de 5 milhões de empresas  na sua plataforma G Suite.

O problema decorre da maneira como o Google implementou a segurança de senha no seu sistema principal de login. Existem dois tipos de erros aqui.

O primeiro envolve um recurso do G Suite disponível para a equipe de TI desde 2005. A ferramenta, que agora não existe mais, permitiu que eles definissem e recuperassem as senhas dos usuários por meio da consola de administração.

Google diz que o recurso foi projetado com a intenção de incorporar novos funcionários e ajudá-los a entrar em suas contas com senhas definidas manualmente pelos administradores. Essas senhas, de acordo com a postagem do blog, não foram criptografadas.

Hashing é uma prática de segurança padrão para proteger as credenciais do usuário, misturando-as, usando um algoritmo de criptografia unidirecional.

A empresa tem uma reputação relativamente boa quando se trata de segurança de conta, então o facto desse bug existir há tanto tempo é um pouco desconcertante.

O segundo envolve o armazenamento de algumas credenciais de usuário não escalonadas até duas semanas. Isso foi descoberto em Janeiro de 2019, pois estava solucionando novas inscrições de clientes do G Suite, disse o gigante das buscas.

Com este último desenvolvimento, Google torna-se a mais recente empresa a juntar-se ao Facebook, o GitHub , Instagram e Twitter ao sofrer de erros embaraçosos com senha de usuários.

Em maio de 2018, o Twitter pediu a todos os seus 330 milhões de usuários que mudassem suas senhas depois de um bug expor as mesmas num texto sem formatação, num log interno. Em seguida, o Facebook reconheceu no início de Março passado que armazenava milhões de senhas de usuários em texto simples desde 2012. Algumas semanas depois, expandiu-se o “buraco” de segurança para incluir milhões de usuários do Instagram .

O caso da Google é um pouco diferente, pois as senhas foram eventualmente criptografadas antes de serem armazenadas no disco. Isso significa que, mesmo que um invasor consiga apoderar-se da sua senha, ainda precisará de descodificá-la para obter acesso à sua conta.

Um intruso mal-intencionado poderia, teoricamente, usar o software de backend do gigante de buscas para descriptografar sua senha, embora o cenário seja extremamente improvável, já que ele teria que invadir a infraestrutura de segurança do Google sem ser detectado.

Observando que ambos os erros de segurança foram corrigidos, Google pediu aos usuários para fazerem uso da autenticação multifator para impedir ataques de aquisição de contas. Também se desculpou perante os seus usuários por não seguir os padrões do setor e prometeu fazer melhor.

Fonte

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui