No meu blog sobre um bug descoberto recentemente que resultou no armazenamento de senhas de alguns usuários do G Suite sem criptografia em arquivos de texto simples. Este bug existe desde 2005. No entanto, o Google afirma que não consegue encontrar nenhuma evidência de que alguma dessas senhas tenha caído nas mãos de invasores ou sido utilizada indevidamente. No entanto, a empresa redefinirá todas as senhas que possam ser afetadas e notificará os administradores do G Suite sobre o problema.
G Suite é a versão empresarial do Gmail e de outros aplicativos do Google, e o bug aparentemente ocorreu neste produto devido a um recurso projetado especificamente para empresas. No início do serviço, um administrador de empresa poderia usar aplicativos do G Suite para definir senhas de usuários manualmente: digamos, antes de um novo funcionário ingressar no sistema. Se ele usasse essa opção, o console administrativo salvaria essas senhas como texto simples, em vez de fazer hash delas. Posteriormente, o Google retirou essa capacidade dos administradores, mas as senhas permaneceram em arquivos de texto.
Em sua postagem, o Google se esforça para explicar como funciona o hash criptográfico para que as nuances associadas ao erro fiquem claras. Embora as senhas fossem armazenadas em texto não criptografado, elas estavam nos servidores do Google, portanto, terceiros só poderiam obter acesso a elas invadindo os servidores (a menos que fossem funcionários do Google).
O Google não informou quantos usuários foram potencialmente afetados, apenas disse que se tratava de um “subconjunto de clientes empresariais do G Suite” – provavelmente qualquer pessoa que usasse o G Suite em 2005. Embora o Google não tenha encontrado nenhuma evidência de que alguém tenha usado esse acesso de forma maliciosa, não está totalmente claro quem pode ter acesso a esses arquivos de texto.
De qualquer forma, o problema já foi resolvido e o Google lamentou em sua postagem sobre o problema: “Levamos muito a sério a segurança de nossos clientes corporativos e temos orgulho de promover práticas de segurança de contas líderes do setor. Neste caso, não cumprimos os nossos padrões nem os padrões dos nossos clientes. Pedimos desculpas aos usuários e prometemos fazer melhor no futuro.”
Fonte: 3dnews.ru