Después de Facebook y Twitter, Google se convierte en el gigante tecnológico más reciente que ha almacenado accidentalmente las contraseñas de sus usuarios sin protección en texto sin formato en sus servidores, lo que significa que cualquier empleado de Google que tenga acceso a los servidores podría haberlas leído.
En una publicación de blog publicada el martes, Google reveló que su plataforma G Suite almacenó por error las contraseñas sin cifrar de algunos de sus usuarios empresariales en servidores internos en texto sin formato durante 14 años debido a un error en la función de recuperación de contraseña.
G Suite, anteriormente conocido como Google Apps, es una colección de herramientas de computación en la nube, productividad y colaboración que se ha diseñado para usuarios corporativos con alojamiento de correo electrónico para sus negocios.
Es básicamente una versión empresarial de todo lo que ofrece Google.
La falla, que ahora se ha reparado, residía en el mecanismo de recuperación de contraseñas para los clientes de G Suite que permite a los administradores empresariales cargar o establecer contraseñas manualmente para cualquier usuario de su dominio sin saber realmente sus contraseñas anteriores para ayudar a las empresas con la incorporación. empleados y para recuperación de cuentas.
Si los administradores se reiniciaron, la consola de administración almacenaría una copia de esas contraseñas en texto sin formato en lugar de cifrarlas, reveló Google.
«Cometimos un error al implementar esta funcionalidad en 2005: la consola de administración almacenó una copia de la contraseña sin cifrar», dice Google.
Sin embargo, Google también dice que las contraseñas de texto sin formato no se almacenaron en la Internet abierta sino en sus propios servidores cifrados y seguros y que la compañía no encontró evidencia de que se haya accedido indebidamente a la contraseña de nadie.
«Esta práctica no cumplió con nuestros estándares. Para ser claros, estas contraseñas permanecieron en nuestra infraestructura cifrada segura», dice Google. «Este problema se solucionó y no hemos visto evidencia de acceso indebido o uso indebido de las contraseñas afectadas».
Google también aclara que el error estaba restringido a los usuarios de sus aplicaciones G Suite para empresas y que ninguna versión gratuita de cuentas de Google como Gmail se vio afectada.
Aunque la compañía no reveló cuántos usuarios podrían haberse visto afectados por este error más allá de decir que el problema afectó a «un subconjunto de nuestros clientes empresariales de G Suite», con más de 5 millones de clientes empresariales de G Suite, el error podría afectar a un gran número de usuarios, presumiblemente cualquier usuario que haya usado G Suite en los últimos 14 años.
Para solucionar el problema, Google eliminó la capacidad de los administradores de G Suite y les envió por correo electrónico una lista de los usuarios afectados, pidiéndoles que se aseguraran de que esos usuarios restablecieran sus contraseñas.
Google dice que la compañía restablecería automáticamente las contraseñas de aquellos usuarios que no cambien sus contraseñas.
«Por precaución, restableceremos las cuentas que no lo hayan hecho», dice el gigante tecnológico.
Google es la última empresa de tecnología en almacenar accidentalmente contraseñas sin cifrar en sus servidores internos. Recientemente, Facebook estuvo en las noticias por almacenar contraseñas de texto sin formato para cientos de millones de sus usuarios, tanto de Instagram como de Facebook, en sus servidores internos.
Hace casi un año, Twitter también informó sobre un error de seguridad similar que expuso involuntariamente las contraseñas de sus 330 millones de usuarios en texto legible en su sistema informático interno.