O Google confirmou que exigirá autenticação de múltiplos fatores (MFA) para todos os usuários do Google Cloud, iniciando o processo ainda este mês com lembretes e avisos dentro do console do Google Cloud. A obrigatoriedade será implementada gradualmente a partir de 2025.
Embora o plano tenha sido anunciado discretamente em um documento de outubro, Mayank Upadhyay, vice-presidente de engenharia do Google, oficializou a novidade em um post no blog da empresa esta semana. “Implementaremos o MFA obrigatório para o Google Cloud em uma abordagem faseada, que será expandida para todos os usuários ao longo de 2025,” escreveu Upadhyay. "Para facilitar a transição, o Google Cloud fornecerá notificações antecipadas para ajudar empresas e usuários a planejarem as implementações."
A medida vem em meio a uma série de violações de dados, com mais de 1 bilhão de registros roubados apenas em 2024. Entre os exemplos de brechas, a Change Healthcare, gigante de saúde nos EUA, sofreu um ataque de ransomware em fevereiro, que resultou no roubo de dados de saúde de mais de 100 milhões de pessoas. O ataque foi causado por credenciais comprometidas que não tinham proteção de MFA.
Outro caso envolveu a Snowflake, plataforma de armazenamento de dados, após dados confidenciais de centenas de clientes (incluindo a Ticketmaster) vazarem online. Assim como no caso da Change Healthcare, a falta de MFA foi apontada como uma vulnerabilidade. Após o incidente, a Snowflake introduziu o MFA obrigatório como uma opção para seus administradores, embora a decisão final de ativá-lo ainda dependa dos clientes.
Curiosamente, a Mandiant, empresa de cibersegurança do Google, trabalhou com a Snowflake para investigar o roubo de dados e recomendou a aplicação universal de MFA e autenticação segura. Agora, o Google está implementando a mesma recomendação em sua própria plataforma.
A partir de 2025, o Google exigirá que todos os usuários do Google Cloud que atualmente fazem login com senha ativem o MFA, o que significa que o acesso à conta dependerá de um segundo fator de autenticação, como um aplicativo autenticador ou chave de segurança física. Até o final de 2025, essa exigência será estendida a "usuários federados" que acessam o Google Cloud através de um autenticador terceirizado.
A decisão do Google segue a linha de outras gigantes do setor, como AWS e Microsoft, que recentemente também implementaram MFA obrigatório para seus ambientes de nuvem.
Embora a autenticação MFA esteja disponível para usuários comuns do Google, ela permanece opcional para contas pessoais. Atualmente, 70% dos usuários ativos do Google utilizam a verificação em duas etapas (2SV), mas a obrigatoriedade está focada nos clientes corporativos devido ao maior risco de ataques em ambientes empresariais.
“Hoje, há uma ampla adoção de 2SV entre usuários de todos os serviços do Google,” afirma Upadhyay. “No entanto, dada a natureza sensível das implantações em nuvem e com o phishing e roubo de credenciais sendo vetores de ataque importantes observados pela nossa equipe de inteligência de ameaças Mandiant, acreditamos que é hora de exigir 2SV para todos os usuários do Google Cloud.”
Via - TC
Comments