Google armazenou senhas de contas corporativas incorretamente por 14 anos

O Google anunciou nesta terça-feira (21) que encontrou um bug que deixou as senhas de contas empresariais G Suite armazenadas incorretamente pelos últimos 14 anos. As informações estavam criptografadas, mas sem hash. É um bug que poderia ter permitido que funcionários do Google acessassem credenciais – mas a companhia afirma que nenhum acesso do tipo foi detectado.

O erro impacta apenas os usuários de contas empresariais G Suite – pagas e gratuitas. Os usuários de outros produtos do Google não foram afetados.

• Lembre-se: a autenticação em dois fatores por SMS é fraca
• Estas três dicas de segurança são o suficiente para não se preocupar com novos vazamentos

“Estamos conduzindo uma investigação minuciosa e não encontramos nenhuma evidência de acesso impróprio ou de mau uso das credenciais afetadas no G Suite”, disse Suzanne Frey, vice-presidente de engenharia do Google Cloud.

O hashing é um técnica útil na criptografia que permite ao Google dar acesso às suas contas sem saber a sua senha exata. O sistema de login com o Google consegue combinar o hash do login – uma representação numérica da sua senha – com o hash armazenado pelo Google. É uma maneira de embaralhar e deixar as credenciais de sua conta mais segura.

O bug revelado somente nesta terça-feira teve sua origem traça em uma ferramenta desenvolvida em 2005 que permitia que administradores configurassem senhas para seus novos funcionários. O objetivo era ajudar com tarefas como integração de novos usuários. Mas a implementação continha falhas e as senhas armazenadas utilizando essa ferramenta foram criptografadas mas nunca passaram pelo algoritmo de hash.

“Para deixar claro, essas senhas permaneceram em nossa infraestrutura criptografada. Esse problema já foi resolvido e não encontramos evidências de acesso impróprio ou de mau uso das senhas afetadas”, disse Frey.

Outro bug revelado hoje pelo Google mostrou que senhas sem hash foram armazenadas por duas semanas na infraestrutura do Google.

Administradores afetados foram notificados.

Recentemente, o Facebook revelou que também manteve senhas de milhares de usuários da rede social sem proteção. Como no caso do Google, a empresa disse que as senhas não foram acessadas por ninguém.

Esse é outro incidente que destaca a importância de autenticação em múltiplos fatores. É extremamente fácil perder o controle de uma senha – embora pareça que ninguém tenha conseguido acessar essas informações mal armazenadas – então faz sentido para o uso pessoal e profissional deixar sua conta mais segura utilizando a técnica de autenticação em múltiplos fatores.