en mi blog sobre un error descubierto recientemente que provocó que las contraseñas de algunos usuarios de G Suite se almacenaran sin cifrar dentro de archivos de texto sin formato. Este error existe desde 2005. Sin embargo, Google afirma que no puede encontrar ninguna evidencia de que alguna de estas contraseñas haya caído en manos de atacantes o haya sido utilizada indebidamente. Sin embargo, la empresa restablecerá las contraseñas que puedan verse afectadas y notificará el problema a los administradores de G Suite.
G Suite es la versión empresarial de Gmail y otras aplicaciones de Google, y el error aparentemente ocurrió en este producto debido a una función diseñada específicamente para empresas. Al comienzo del servicio, un administrador de la empresa podría utilizar las aplicaciones de G Suite para establecer contraseñas de usuario manualmente: por ejemplo, antes de que un nuevo empleado se uniera al sistema. Si usara esta opción, la consola de administración guardaría dichas contraseñas como texto sin formato en lugar de aplicar hash. Más tarde, Google quitó esta capacidad a los administradores, pero las contraseñas permanecieron en archivos de texto.
En su publicación, Google se esfuerza por explicar cómo funciona el hash criptográfico para que los matices asociados con el error queden claros. Aunque las contraseñas estaban almacenadas en texto claro, estaban en los servidores de Google, por lo que terceros sólo podían acceder a ellas pirateando los servidores (a menos que fueran empleados de Google).
Google no dijo cuántos usuarios se vieron potencialmente afectados, salvo que se trataba de un "subconjunto de clientes empresariales de G Suite", probablemente cualquiera que usara G Suite en 2005. Si bien Google no pudo encontrar evidencia de que alguien haya utilizado este acceso de manera maliciosa, no está del todo claro quién podría tener acceso a estos archivos de texto.
En cualquier caso, el problema ya se ha solucionado y Google expresó su pesar en su publicación sobre el problema: “Nos tomamos muy en serio la seguridad de nuestros clientes empresariales y estamos orgullosos de promover prácticas de seguridad de cuentas líderes en la industria. En este caso, no cumplimos con nuestros estándares ni con los de nuestros clientes. Pedimos disculpas a los usuarios y prometemos hacerlo mejor en el futuro".
Fuente: 3dnews.ru