Google almacenó contraseñas de usuarios de G Suite en texto plano desde 2005
Un error en la implementación de una función de hash de contraseñas de Google ha llevado a que la compañía haya almacenado, durante casi 14 años, contraseñas de varios usuarios de su suite para empresa G Suite en texto plano. Eso sí, a pesar de estar en texto plano, estaban guardadas en un entorno cifrado, aunque cualquier empleado de Google tenía acceso a ellas. Y como estos empleados, cualquiera que las localizase, aunque según la compañía no hay indicios de que esto haya sido así.
Según ha confirmado Suzanne Frey, Vicepresidenta de ingeniería de confianza de Google Cloud, el fallo afecta solo a los usuarios de pago de G Suite, por lo que los que usan los productos de Google en sus versiones gratuitas no están afectados.
La práctica habitual de seguridad es cifrar las contraseñas que se almacenan en servidores internos, para que ni los empleados de las compañías que las utilizan puedan acceder a ellos. Y en este caso se ha dado el fallo porque los clientes de empresa en 2005, cuando se dio por primera vez (aunque pasó desapercibido hasta hace poco), los administradores de sistemas querían herramientas para poder establecer y recuperar las contraseñas de forma manual. Esta herramienta es la que fallaba y es la que fallaba a la hora de utilizar la función hash que desordenaba y enmascaraba la contraseña antes de cifrarla.
Según apuntan desde Google, han realizado una investigación para ver el alcance del fallo, y no han encontrado evidencias de accesos no autorizados a las contraseñas. Tampoco han detectado un uso fraudulento de las credenciales de G Suite afectadas. No obstante, la compañía no ha querido correr riesgos y lleva ya unas semanas trabajando con los administradores de sistemas de las cuentas afectadas para que cambien sus contraseñas.
Además, en los casos en los que la compañía está completamente segura de que las contraseñas estaban en texto plano y los administradores no han hecho nada, las ha reseteado directamente para que sus usuarios las tengan que cambiar de manera forzosa.
Aparte de este fallo, Google descubrió otro similar el pasado mes de enero. En este caso, se almacenaron contraseñas en texto plano por un periodo máximo de dos semanas, y la compañía notificó a los administradores de los sistemas afectados para que cambiasen la clave de acceso, además de corregir el fallo.
Fuente: Muy Computer Pro
La práctica habitual de seguridad es cifrar las contraseñas que se almacenan en servidores internos, para que ni los empleados de las compañías que las utilizan puedan acceder a ellos. Y en este caso se ha dado el fallo porque los clientes de empresa en 2005, cuando se dio por primera vez (aunque pasó desapercibido hasta hace poco), los administradores de sistemas querían herramientas para poder establecer y recuperar las contraseñas de forma manual. Esta herramienta es la que fallaba y es la que fallaba a la hora de utilizar la función hash que desordenaba y enmascaraba la contraseña antes de cifrarla.
Según apuntan desde Google, han realizado una investigación para ver el alcance del fallo, y no han encontrado evidencias de accesos no autorizados a las contraseñas. Tampoco han detectado un uso fraudulento de las credenciales de G Suite afectadas. No obstante, la compañía no ha querido correr riesgos y lleva ya unas semanas trabajando con los administradores de sistemas de las cuentas afectadas para que cambien sus contraseñas.
Además, en los casos en los que la compañía está completamente segura de que las contraseñas estaban en texto plano y los administradores no han hecho nada, las ha reseteado directamente para que sus usuarios las tengan que cambiar de manera forzosa.
Aparte de este fallo, Google descubrió otro similar el pasado mes de enero. En este caso, se almacenaron contraseñas en texto plano por un periodo máximo de dos semanas, y la compañía notificó a los administradores de los sistemas afectados para que cambiasen la clave de acceso, además de corregir el fallo.
Fuente: Muy Computer Pro
Alguien paso esto por alto.
ResponderBorrarhttps://bit.ly/2HvCXds
Saludos,