Llegamos a ustedes gracias a:



Alertas de Seguridad

Google expone el problema de G Suite

Que almacenó contraseñas en texto sin formato

[23/05/2019] Google ha comenzado a forzar a "un subconjunto de nuestros clientes empresariales de G Suite a cambiar sus contraseñas después de un problema que dejó las contraseñas expuestas inadvertidamente durante más de una década.

En una publicación en su blog Google Cloud el martes, la compañía describió un error cometido en el 2005 que almacenó una copia de las contraseñas de los usuarios reales en lugar de la versión aleatoria de "hash codificada, lo que hace posible que un ataque externo tenga acceso a las contraseñas utilizables. Google explica que el problema se ha solucionado y que la compañía "no ha visto evidencia de acceso indebido o mal uso de las contraseñas afectadas.

Google afirma que las contraseñas aún estaban almacenadas en su "segura y cifrada infraestructura, por lo que la probabilidad de un ataque externo era baja.

Google culpa a un conjunto de características legadas por el problema. En el 2005, a los administradores de dominios de G Suite se les dio la capacidad de establecer y recuperar contraseñas por el lado del cliente para sus propios usuarios, por lo que necesitaban acceso a las contraseñas que no se habían establecido con un hash. Desde entonces, Google ha eliminado esta funcionalidad y requiere que todas las contraseñas de G Suite sean restablecidas en lugar de recuperadas, al igual que con Gmail.

Además, Google desenterró un problema aparte que comenzó en enero y que también permitió que las contraseñas no establecidas con hash se almacenaran por hasta 14 días. Al igual que el otro problema, Google ha solucionado el inconveniente y no ha encontrado ninguna evidencia de "acceso indebido o uso incorrecto de la contraseña afectada.

Como resultado, Google informa a todos los clientes afectados que cambien las contraseñas afectadas y que restablecerá cualquiera que no se modifique manualmente. Google se disculpó por el problema y prometió que "mejorará en el futuro.

Si bien este problema en particular no afecta a los usuarios de Gmail (fuera de los suscriptores de G Suite), impulsa la necesidad de usar contraseñas seguras y únicas para cada sitio y servicio crítico que use. Si aún no está utilizando un administrador de contraseñas, debería hacerlo.