No meu blog sobre un erro descuberto recentemente que provocou que os contrasinais dalgúns usuarios de G Suite se almacenasen sen cifrar dentro de ficheiros de texto simple. Este erro existe desde 2005. Non obstante, Google afirma que non pode atopar ningunha proba de que algún destes contrasinais caeu en mans de atacantes ou fose mal utilizado. Non obstante, a empresa restablecerá os contrasinais que poidan verse afectados e notificará o problema aos administradores de G Suite.
G Suite é a versión empresarial de Gmail e outras aplicacións de Google e, ao parecer, o erro ocorreu neste produto debido a unha función deseñada especificamente para empresas. Ao comezo do servizo, un administrador da empresa podía utilizar as aplicacións de G Suite para establecer os contrasinais dos usuarios manualmente: por exemplo, antes de que un novo empregado se incorporase ao sistema. Se utilizase esta opción, a consola de administración gardaría tales contrasinais como texto simple en lugar de haxealos. Google quitoulle posteriormente esta capacidade aos administradores, pero os contrasinais permaneceron nos ficheiros de texto.
Na súa publicación, Google cómpre explicar como funciona o hash criptográfico para que queden claros os matices asociados ao erro. Aínda que os contrasinais estaban almacenados en texto claro, estaban nos servidores de Google, polo que terceiros só podían acceder a eles pirateando os servidores (a non ser que fosen empregados de Google).
Google non dixo cantos usuarios se viron potencialmente afectados, salvo dicir que era un "subconxunto de clientes empresariais de G Suite", probablemente calquera que utilizase G Suite en 2005. Aínda que Google non puido atopar probas de que alguén utilizase este acceso de forma maliciosa, non está do todo claro quen puido ter acceso a estes ficheiros de texto.
En calquera caso, agora o problema foi solucionado e Google expresou o seu pesar na súa publicación sobre o problema: "Tomamos moi en serio a seguridade dos nosos clientes empresariais e estamos orgullosos de promover prácticas de seguridade de contas líderes no sector. Neste caso, non cumprimos os nosos estándares nin os estándares dos nosos clientes. Pedimos desculpas aos usuarios e prometemos facelo mellor no futuro".
Fonte: 3dnews.ru