Senhas do Google Suite foram salvas em arquivos simples de texto desde 2005

Por Rafael Arbulu | 21 de Maio de 2019 às 20h50
Tudo sobre

Google

Saiba tudo sobre Google

Ver mais

Você usa os aplicativos do Google Suite na sua empresa? Então é melhor você se sentar: segundo a própria Google admitiu, um bug fazia com que as senhas de algumas contas corporativas da suíte de aplicações de escritório tivessem suas senhas salvas em simples arquivos de texto. Calma que piora: aparentemente, a situação vem perdurando desde 2005.

A boa notícia é que, mesmo sem estar em hash, os arquivos de texto ainda eram criptografados.

Normalmente, a Google guarda credenciais de acesso dos usuários em um estado embaralhado de criptografia conhecido como hash. Neste caso específico, porém, uma falha de segurança em uma ferramenta antiga de gerenciamento permitia que os arquivos, mesmo protegidos, não estivessem neste estado. Em tese, um hacker com conhecimentos básicos de criptografia poderia acessá-los. A Google já desligou a ferramenta em questão.

Participe do nosso Grupo de Cupons e Descontos no Whatsapp e garanta sempre o menor preço em suas compras de produtos de tecnologia.

Segundo a empresa, apenas um percentual “pequeno” de contas foram afetadas, o que indica que contas singulares, de usuários comuns, não sofreram. Entretanto, a linha afetada atinge contas corporativas, que possuem suas próprias práticas de segurança e amontoam em cerca de 5 milhões de clientes empresariais.

Suíte de aplicativos de escritórios da Google tinha falha de segurança que guardava senhas em arquivos de texto desde 2005

"Nossos sistemas de autenticação operam em muitas camadas de segurança além da senha, e nós empregados inúmeros sistemas automatizados que bloqueiam tentativas maliciosas de login até mesmo quando um hacker sabe a senha”, disse a vice-presidente de engenharia da Google, Suzanne Frey, no blog da empresa. "Mais além, nós oferecemos aos administradores do G Suite diversas verificações em dois passos [2FA]... levamos a segurança de nossos clientes empresariais extremamente a sério, e nos orgulhamos de sermos o avanço das melhores práticas de segurança de contas da indústria. Aqui, nós não fizemos jus aos nossos próprios padrões”.

A empresa informa que está comunicando administradores de contas corporativas, além de resetar as senhas de maneira pró-ativa. O bug foi descoberto em abril, com uma versão atualizada dele aparecendo em maio, durante as investigações internas da empresa.

“Para deixar claro, essas senhas permaneceram em nossa infraestrutura segura e criptografada”, disse Frey. “Esse problema foi consertado e não vimos nenhuma evidência de uso impróprio ou acesso das contas afetadas”.

Fonte: Google Cloud Blog

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.