Companhia informou que senhas ficaram armazenadas em texto simples em servidores e pediu para clientes afetados alterarem senhas
O Google começou a forçar "um subconjunto de nossos clientes do G Suite Enterprise" a alterar suas senhas depois que um problema foi encontrado, no qual as senhas ficaram, inadvertidamente, expostas por mais de uma década.
Em um post publicado no blog do Google Cloud na terça-feira (21/05), a empresa descreveu um erro feito em 2005 que armazenava uma cópia das senhas reais do usuário, em vez da versão "hash" comum, possibilitando, assim, que um ataque externo tivesse acesso a senhas utilizáveis. O Google explicou que o problema foi corrigido e que a empresa "não viu nenhuma evidência de acesso indevido ou uso indevido das senhas afetadas".
Segundo a gigante de tecnologia, as senhas ainda estavam armazenadas na "infraestrutura criptografada segura", portanto a probabilidade de um ataque externo era baixa.
O Google culpa um conjunto de recursos herdados pelo problema. Em 2005, os administradores do domínio do G Suite conseguiram definir e restaurar senhas do lado do cliente para seus próprios usuários. Portanto, eles precisavam acessar senhas não criptografadas. Desde então, o Google jogou essa funcionalidade ao mar, exigindo que todas as senhas do G Suite fossem redefinidas e não restauradas, assim como o Gmail.
Além disso, o Google descobriu um problema separado que começou em janeiro, resultando em armazenamento de senhas não salvas por até 14 dias. Como a outra questão, o Google corrigiu o problema e não encontrou evidências de "acesso inadequado às senhas afetadas ou ao uso indevido".
Como resultado, o Google está informando a todos os clientes afetados para alterarem as suas senhas e irá resetar todas que não forem mudadas manualmente. A companhia pediu desculpas pelo problema e prometeu melhorar no futuro.
Embora esse problema específico não afete os usuários do Gmail (fora dos assinantes do G Suite), o incidente é um lembrete para o uso de senhas fortes e exclusivas para todos os sites e serviços críticos que você usa.