Google expuso contraseñas de usuarios empresariales de G Suite
- Endpoint
La compañía está trabajando con administradores de empresas para garantizar que sus usuarios restablecen sus contraseñas. Tras realizar una investigación exhaustiva, Google no tiene evidencias de acceso indebido o mal uso de las credenciales de G Suite afectadas.
Google ha admitido que algunos de sus clientes de G Suite han tenido sus contraseñas almacenadas en los servidores internos de la compañía en texto sin formato. En un post señala que “es un problema de G Suite que afecta solo a los usuarios empresariales, ya que no se vieron afectadas las cuentas gratuitas de Google, y estamos trabajando con administradores de empresas para garantizar que sus usuarios restablecen sus contraseñas. Hemos estado realizando una investigación exhaustiva y no hemos visto evidencia de acceso indebido o mal uso de las credenciales de G Suite afectadas”.
La compañía explica que, dentro de su producto empresarial G Suite, anteriormente proporcionaban a los administradores de dominio herramientas para establecer y recuperar contraseñas. La herramienta (ubicada en la consola de administración) permitía a los administradores cargar o configurar manualmente las contraseñas de los usuarios de la empresa. “Cometimos un error cuando implementamos esta funcionalidad en 2005: la consola de administración almacenó una copia de la contraseña en texto sin formato”, señala Google, añadiendo que “estas contraseñas permanecieron en nuestra infraestructura segura encriptada. Este problema se ha solucionado y no hemos visto evidencia de acceso indebido o mal uso de las contraseñas afectadas”.
La compañía agrega que “como estábamos solucionando problemas con los nuevos flujos de registro de clientes de G Suite, descubrimos que a partir de enero de 2019 habíamos almacenado inadvertidamente un subconjunto de contraseñas en texto sin formato en nuestra infraestructura segura y encriptada. Estas contraseñas fueron almacenadas por un máximo de 14 días. Este problema se ha solucionado y, de nuevo, no hemos visto evidencia de acceso inapropiado o mal uso de las contraseñas afectadas. Continuaremos con nuestras auditorías de seguridad para garantizar que esto sea un incidente aislado”.
Google ha notificado a los administradores de G Suite que cambien las contraseñas afectadas, y avisa que, por precaución, restablecerá las cuentas que no lo hayan hecho ellos mismos.