Después de Facebook y Twitter, Google se ha convertido en la última compañía internacional que de forma accidental almacenó las contraseñas de sus usuarios en texto plano en sus servidores, lo que significa que cualquier empleado de Google con acceso a los servidores podría haberlas visto.
Google reveló en una publicación este martes, que su plataforma G Suite almacenó por error las contraseñas no cifradas de algunos de sus usuarios empresariales en servidores internos en texto simple por 14 años, debido a un error en la función de recuperación de contraseña.
G Suite, antes conocida como Google Apps, es una colección de herramientas de cómputo, productividad y colaboración en la nube, que han sido diseñadas para usuarios corporativos con alojamiento de correo electrónico para sus negocios.
La falla, que ya fue reparada, residía en el mecanismo de recuperación de contraseñas para los clientes de G Suite que permite a los administradores empresariales cargar o configurar de forma manual las contraseñas para cualquier usuario de su dominio, sin saber realmente sus contraseñas anteriores para ayudar a las empresas y empleados a recuperar sus cuentas.
Si los administradores se restablecieran, la consola de administración almacenaría una copia de esas contraseñas en texto sin formato en lugar de cifrarlas, dijo Google.
«Cometimos un error cuando implementamos esta funcionalidad en 2005: la consola de administración almacenó una copia de la contraseña sin protección», dijo la compañía.
Sin embargo, Google dijo que las contraseñas de texto sin formato no se almacenaron en Internet, sino en sus propios servidores cifrados seguros y que la compañía no encontró evidencia de que haya accedido a la contraseña de nadie.
«Esta práctica no estuvo a la altura de nuestros estándares. Para ser claros, las contraseñas permanecieron en nuestra infraestructura segura y encriptada. Este problema se solucionó y no tenemos evidencia de acceso indebido o mal uso de las contraseñas afectadas».
Google también aclaró que el error se restringió a los usuarios de sus aplicaciones G Suite para empresas, por lo que no se vio afectada ninguna versión gratuita de cuentas de Google como Gmail.
La compañía no reveló cuántos usuarios podrían haberse visto afectados, solo informó que el problema afectó a «un subconjunto de nuestros clientes empresariales de G Suite». Esto significa en realidad que aún así el número podría ser muy grande, pues son más de 5 millones de clientes empresariales que utilizan G Suite durante los últimos 14 años.
Para solucionar este problema, Google eliminó la capacidad de los administradores de G Suite y les envió una lista de los usuarios afectados, para pedirles que se aseguren de que dichos usuarios restablezcan sus contraseñas.
Google asegura que la compañía restablecerá de forma automática las contraseñas para quienes no lo hagan.
«Debido a una gran cantidad de precauciones, restableceremos las cuentas que no lo hayan hecho por sí mismos».
Recientemente, Facebook fue criticado por almacenar millones de contraseñas en texto plano, luego se supo lo mismo en la plataforma Instagram.
Hace casi un año, Twitter reportó un error de seguridad similar que expuso las contraseñas de sus 330 millones de usuarios en texto legible.
