Google almaceno algunas passwords de google Suite en texto sin formato

google

Google reveló que recientemente descubrió un error que causó que un subconjunto de sus clientes empresariales de G Suite tuvieran sus contraseñas almacenadas en forma libre durante aproximadamente 14 años.

"Este es un problema de G Suite solo para usuarios, no se vieron afectadas las cuentas gratuitas de Google para el consumidor, y estamos trabajando con administradores empresariales para asegurarnos de que sus usuarios restablecen sus contraseñas", dijo Google en una publicación del blog que reveló el lapso de seguridad.

La compañía no especificó exactamente cuántos clientes se vieron afectados de esta manera. Sin embargo, continuó enfatizando que no encontró ninguna evidencia de acceso inapropiado.

G Suite es la versión corporativa de la empresa de Gmail y aplicaciones como Drive, Docs y Hangouts, entre otras. Este febrero, Google anunció que tenía más de 5 millones de empresas pagadoras en su plataforma G Suite.

El problema se deriva de la forma en que Google implementó la seguridad de contraseña en su sistema de inicio de sesión central.

La primera incluye una característica de G Suite disponible para el personal de TI desde 2005. La herramienta, que ya no existe, les permitió establecer y recuperar las contraseñas de los usuarios a través de la consola de administración.

Google dice que la función se diseñó con la intención de incorporar nuevos empleados y ayudarlos a iniciar sesión en sus cuentas con contraseñas establecidas manualmente por los administradores. Estas contraseñas, de acuerdo con la publicación del blog, no fueron ocultas.

El hash es una práctica de seguridad estándar para proteger las credenciales de los usuarios codificándolos, utilizando un algoritmo de cifrado de una vía.

La compañía tiene una reputación relativamente buena cuando se trata de seguridad de la cuenta, por lo que el hecho de que este error haya existido durante tanto tiempo es un poco desconcertante.

El segundo consiste en almacenar algunas credenciales de usuario sin daños hasta por dos semanas. Esto fue descubierto en enero de 2019, ya que estaba solucionando problemas con los nuevos registros de clientes de G Suite, dijo el gigante de búsqueda.

Con este último desarrollo, Google se convierte en la última compañía en unirse a Facebook, GitHub, Instagram y Twitter sufren de errores de contraseña vergonzosos vergonzosos.

En mayo de 2018, Twitter pidió a todos sus 330 millones de usuarios que cambien sus contraseñas después de que un error los expusiera en texto sin formato en un registro interno. Luego, Facebook reconoció a principios de marzo pasado que había estado almacenando millones de contraseñas de usuarios en texto sin formato desde 2012. Unas semanas más tarde, amplió el alcance del lapso de seguridad para incluir a millones de usuarios de Instagram .

El caso de Google es un poco diferente en el sentido de que las contraseñas se cifraron antes de ser almacenadas en el disco. Esto significa que, incluso si un atacante lograba obtener su contraseña, todavía tendría que descifrarla para poder acceder a su cuenta.

En teoría, un intruso malintencionado podría usar el software de back-end del gigante de búsqueda para descifrar su contraseña, aunque el escenario es extremadamente improbable, ya que habría tenido que ingresar a la infraestructura de seguridad de Google sin ser detectado.

Al darse cuenta de que estos dos errores de seguridad se han solucionado, Google instó a los usuarios a utilizar la autenticación de múltiples factores para frustrar cualquier ataque de toma de posesión de la cuenta. También se disculpó con sus usuarios por no seguir los estándares de la industria y prometió hacerlo mejor.

Semrush sigue a tu competencia


Fecha actualización el 2019-05-23. Fecha publicación el 2019-05-23. Categoria: google Autor: Oscar olg Mapa del sitio Fuente: thenextweb Version movil