Después de Facebook y Twitter, Google se convierte en el gigante de la última tecnología que ha almacenado accidentalmente las contraseñas de sus usuarios sin protección en texto plano en sus servidores, lo que significa que cualquier empleado de Google que tenga acceso a los servidores podría haberlas leído.
En una entrada de blog publicada el martes, Google reveló que su plataforma G Suite almacenó erróneamente contraseñas no modificadas de algunos de sus usuarios empresariales en servidores internos en texto plano durante 14 años debido a un error en la función de recuperación de contraseñas.
G Suite, anteriormente conocido como Google Apps, es una colección de herramientas de computación en nube, productividad y colaboración que han sido diseñadas para usuarios corporativos con alojamiento de correo electrónico para sus empresas.
Es básicamente una versión comercial de todo lo que ofrece Google.
El fallo, que ya ha sido parcheado, residía en el mecanismo de recuperación de contraseñas para los clientes de G Suite, que permite a los administradores de la empresa cargar o establecer manualmente contraseñas para cualquier usuario de su dominio sin conocer realmente sus contraseñas anteriores, con el fin de ayudar a las empresas con los empleados que se incorporan y para la recuperación de cuentas.
Si los administradores se restablecieran, la consola de administración almacenaría una copia de esas contraseñas en texto plano en lugar de cifrarlas, reveló Google.
"Cometimos un error al implementar esta funcionalidad en 2005: La consola de administración almacenó una copia de la contraseña sin guión"
, afirma Google. Sin embargo, Google también dice que las contraseñas de texto plano no se almacenaban en la Internet abierta, sino en sus propios servidores encriptados y que la compañía no encontró evidencia de que se accediera indebidamente a la contraseña de alguien.
"Esta práctica no estuvo a la altura de nuestros estándares. Para ser claros, estas contraseñas permanecieron en nuestra infraestructura cifrada segura", dice Google. "Este problema ha sido corregido, y no hemos visto evidencia de acceso inadecuado o mal uso de las contraseñas afectadas."
Google también aclara que el error estaba restringido a los usuarios de sus aplicaciones G Suite para empresas y que no se vio afectada ninguna versión gratuita de las cuentas de Google como Gmail.
Aunque la compañía no reveló cuántos usuarios podrían haber sido afectados por este error más allá de decir que el problema afectaba a "un subconjunto de nuestros clientes empresariales de G Suite", con más de 5 millones de clientes empresariales de G Suite, el error podría afectar a un gran número de usuarios, presumiblemente cualquier usuario que haya usado G Suite en los últimos 14 años.
Para solucionar el problema, Google ha eliminado la capacidad de los administradores de G Suite y les ha enviado por correo electrónico una lista de los usuarios afectados, pidiéndoles que se aseguren de que esos usuarios restablezcan sus contraseñas.
Google dice que la empresa restablecería automáticamente las contraseñas para aquellos usuarios que no las cambien.
"Con mucha precaución, restableceremos las cuentas que no lo hayan hecho ellos mismos"
, dice el gigante de la tecnología. Google es la última compañía tecnológica en almacenar accidentalmente contraseñas no modificadas en sus servidores internos. Recientemente, Facebook fue noticia por almacenar contraseñas de texto plano para cientos de millones de sus usuarios, tanto Instagram como Facebook, en sus servidores internos.
Hace casi un año, Twitter también informó de un error de seguridad similar que involuntariamente expuso contraseñas para sus 330 millones de usuarios en texto legible en su sistema informático interno.