En una publicación de blog publicada el martes, Google reveló que su plataforma G Suite almacenó erróneamente las contraseñas no lavadas de algunos de sus usuarios empresariales en servidores internos en texto simple durante 14 años debido a un error en la función de recuperación de contraseña.
G Suite, anteriormente conocida como Google Apps, es una colección de herramientas de computación en la nube, productividad y colaboración que han sido diseñadas para usuarios corporativos con alojamiento de correo electrónico para sus negocios.
Es básicamente una versión empresarial de todo lo que ofrece Google.
La falla, que ahora ha sido parcheada, residía en el mecanismo de recuperación de contraseña para los clientes de G Suite que permite a los administradores empresariales cargar o configurar manualmente las contraseñas para cualquier usuario de su dominio sin saber realmente sus contraseñas anteriores para ayudar a las empresas con embarque Empleados y para la recuperación de la cuenta.
Si los administradores se restablecieran, la consola de administración almacenaría una copia de esas contraseñas en texto sin formato en lugar de cifrarlas, reveló Google.
«Cometimos un error cuando implementamos esta funcionalidad en 2005: la consola de administración almacenó una copia de la contraseña no», dice Google.
Sin embargo, Google también dice que las contraseñas de texto sin formato no se almacenaron en la Internet abierta sino en sus propios servidores cifrados seguros y que la compañía no encontró evidencia de que se haya accedido incorrectamente a la contraseña de nadie.
«Esta práctica no estuvo a la altura de nuestros estándares. Para ser claros, estas contraseñas permanecieron en nuestra infraestructura segura y encriptada», dice Google. «Este problema se ha solucionado y no hemos visto evidencia de acceso indebido o mal uso de las contraseñas afectadas».
Google también aclara que el error se restringió a los usuarios de sus aplicaciones G Suite para empresas y que no se vio afectada ninguna versión gratuita de cuentas de Google como Gmail.
Aunque la compañía no reveló cuántos usuarios podrían haberse visto afectados por este error, más allá de solo decir que el problema afectó a «un subconjunto de nuestros clientes empresariales de G Suite», con más de 5 millones de clientes empresariales de G Suite, el error podría afectar a un gran número de usuarios, presumiblemente cualquier usuario que haya utilizado G Suite en los últimos 14 años.
Para solucionar el problema, Google ha eliminado la capacidad de los administradores de G Suite y les ha enviado una lista de los usuarios afectados, pidiéndoles que se aseguren de que esos usuarios restablecen sus contraseñas.
Google dice que la compañía restablecerá automáticamente las contraseñas para aquellos usuarios que no las cambien.
«Debido a una gran cantidad de precauciones, restableceremos las cuentas que no lo hayan hecho ellos mismos», dice el gigante de la tecnología.
Google es la última empresa de tecnología que almacena accidentalmente contraseñas no lavadas en sus servidores internos. Recientemente, Facebook apareció en las noticias para almacenar contraseñas de texto sin formato para cientos de millones de usuarios, tanto Instagram como Facebook, en sus servidores internos.
Hace casi un año, Twitter también reportó un error de seguridad similar que expuso involuntariamente contraseñas para sus 330 millones de usuarios en texto legible en su sistema informático interno.
Fuente: thehackernews.com
