¿Brecha de correos empresariales en Gmail? Google almacenó contraseñas de usuarios de G Suite sin cifrar por casi 15 años

Especialistas en seguridad de aplicaciones web reportan que Google cometió un serio error de seguridad al asegurar las contraseñas de algunos de sus clientes empresariales pues, por alrededor de 14 años, la compañía las almacenó en texto sin formato por accidente.El incidente impacta a los usuarios de G Suite, servicio  que proporciona varios productos de Google con un nombre de dominio personalizado para clientes empresariales. Esta falla habría sido causada por un error en la implementación de una característica para configurar y recuperar contraseñas de forma manual.

Los administradores de servicios de G Suite tenían acceso a una consola desde donde podían configurar las cuentas para los nuevos empleados en la compañía; posteriormente, las contraseñas se aseguraban (proceso conocido como hashing) antes de ser almacenadas por Google.

Acorde a los expertos en seguridad de aplicaciones web el hashing es una operación unilateral irreversible. Cuando un usuario proporciona su contraseña, la información es analizada y comparada con los datos almacenados; si existe coincidencia, la contraseña es válida y el usuario obtiene acceso al servicio.

Recientemente, Google reconoció que una copia sin asegurar de la contraseña fue almacenada en los sistemas de la compañía por descuido. “Podemos asegurar que, a pesar de este inconveniente, la información confidencial se mantuvo resguardada en una infraestructura protegida con cifrado y no hay evidencia de acceso no autorizado”, comenta el equipo de ingeniería de Google.

Además de este incidente, Google reveló un segundo error ocurrido a inicios de 2019, cuando se descubrieron más contraseñas sin cifrar almacenadas en los sistemas de la compañía. En esta ocasión, la información confidencial estuvo “expuesta” por al menos dos semanas consecutivas; los equipos de seguridad de Google aseguran que ambos incidentes han sido solucionados.

Acorde a expertos en seguridad de aplicaciones web del Instituto Internacional de Seguridad Cibernética (IICS), el siguiente paso para Google es alertar a los administradores de servicio G Suite afectados en ambas ocasiones para restablecer las contraseñas en caso de ser necesario.

En caso de no localizar a los usuarios de G Suite afectados, Google podría restablecer estas contraseñas expuestas automáticamente.

(Visited 179,1 times)