A Google confirmou nesta terça-feira (21) que uma falha nas operações manteve senhas de usuários expostas a funcionários — e possíveis invasores — em arquivos de textos simples, sem proteção, por anos. O bug afetou assinantes dos aplicativos corporativos da G Suite e não envolve usuários que utilizam os serviços gratuitos.
O problema existia desde 2005 e fazia com que senhas fossem armazenadas dentro do servidores da empresa sem a codificação padrão. Como consumidores do G Suite resetavam bastante os códigos ou criavam novos, no caso da contratação de funcionários e na geração de um novo email, a companhia mantinha uma ferramenta manual de recuperação e cadastro de senhas.
A Google alega que, apesar da falha, o armazenamento das senhas era feito em um sistema interno (e criptografado) e que investigações não detectaram acessos não autorizados ou roubos dessas credenciais. A ferramenta já foi desabilitada.
E agora?
No comunicado oficial, a empresa diz que pediu aos administradores de contas que resetem as senhas, por precaução. "Nós levamos a segurança dos clientes corporativos extremamente a sério e nos orgulhamos de ter as melhores práticas da indústria para proteção de contas. Nesse caso, nós não mantivemos nosso padrão nem o de nossos consumidores. Pedimos desculpas a nossos usuários e faremos melhor", afirma a companhia.
Além disso, durante as investigações, a Google descobriu uma segunda brecha que também guardava senhas de forma insegura por cerca de 2 semanas. A falha foi corrigida.
Esse tipo de erro de armazenamento de dados já foi detectado há alguns anos no navegador Safari e, mais recentemente, com 22 mil senhas no Facebook e dados do Instagram. E vale ressaltar que, apesar da garantia da Google de que o servidor interno é seguro, isso significa que invasores ou funcionários mal-intencionados podiam acessar as senhas normalmente e utilizá-las para práticas ilegais.
Fontes