Caso de paralisação operacional causado pela suspensão de conta do Google Workspace

 (zencapital.substack.com)
1 pontos por GN⁺ 24 일 전 | 1 comentários | Compartilhar no WhatsApp
  • Um caso em que uma conta do Google Workspace foi suspensa por suspeita de invasão, bloqueando o acesso a e-mails e serviços, e a recuperação demorou mesmo após a comprovação da posse do domínio via autenticação DNS
  • Uma única conta de administrador funcionava como hub de autenticação de todos os sistemas de trabalho, como e-mail, Drive, Calendar, folha de pagamento e CRM, fazendo com que a suspensão causasse imediatamente uma indisponibilidade geral na empresa
  • Durante um login no exterior, após remover o número de telefone de recuperação, foi gerado um alerta de segurança incorreto, levando a uma situação de impossibilidade de login em que até códigos de backup e passkeys se tornaram inúteis
  • A recuperação foi atrasada pelos procedimentos de espera de 30 dias e pela confusão com tickets repetidos da equipe de suporte do Google, e mesmo nas consultas via comunidade e redes sociais a resposta foi apenas “espere”
  • Depois de mais de 40 horas de interrupção, o acesso foi restaurado com a intervenção de um funcionário do Google, revelando que a dependência de uma única conta representa um risco crítico para a continuidade dos negócios

Caso de paralisação operacional causado pela suspensão de conta do Google Workspace

  • Caso em que uma conta do Google Workspace foi suspensa por “suspeita de invasão”, bloqueando o acesso ao e-mail

    • Na realidade, era o próprio usuário fazendo login durante uma viagem internacional, mas o Google interpretou isso como comprometimento da conta
    • Mesmo após comprovar a propriedade do domínio por meio de autenticação DNS, o envio e recebimento de e-mails foi totalmente interrompido

  • Uma única conta de administrador funcionava como hub de autenticação de todos os serviços

    • E-mail, Drive, Calendar, sistema de folha de pagamento, CRM (Pipedrive), aplicativo de gestão de tarefas e sistemas internos dependiam todos do Google OAuth
    • Assim que a conta foi suspensa, o acesso a todos os serviços foi bloqueado, causando interrupção geral do trabalho na empresa

  • Como o problema aconteceu

    • Em 4 de abril, por volta das 5h da manhã, durante uma viagem internacional, o usuário removeu o número de telefone de recuperação para evitar autenticação por SMS
    • Logo em seguida, foi gerado um alerta de segurança incorreto dizendo que “o app autenticador foi removido”, e a conta passou a um estado de impossibilidade de login
    • Códigos de backup, passkeys e até dispositivos já autenticados deixaram de funcionar como meios de autenticação

  • Tentativas de recuperação e confusão no suporte do Google

    • A verificação por registros DNS CNAME/TXT foi concluída, mas o procedimento de recuperação por e-mail exigia uma espera de 30 dias
    • O suporte foi acionado a partir de outra conta do Workspace, mas só foram fornecidos links que exigiam login, impossibilitando o avanço
    • Repetiu-se a confusão de tickets duplicados, encerrados e reabertos entre diferentes atendentes
    • Mesmo nas consultas pelo fórum da comunidade e pelo X.com, a única resposta repetida era “espere”

  • Impacto operacional e tempo decorrido

    • Com mais de 40 horas de atraso na recuperação, o processamento da folha, reuniões no Google Meet e agendas de negociações comerciais ficaram todos paralisados
    • Parte do trabalho foi improvisada com e-mail pessoal, mas havia limitações devido à necessidade de manter a separação em relação à conta corporativa

  • Atualizações adicionais

    • Update 1: Era possível alterar os registros MX para outro serviço de e-mail, mas não recuperar os e-mails e calendários existentes
    • Update 2: A promessa da equipe de suporte do Google de “atualizar em 1~2 horas” se repetiu, mas a resolução continuou atrasando
    • Update 3: A recuperação final do login foi bem-sucedida com a intervenção direta de um funcionário do Google

Lições após o incidente e reação da comunidade

  • Usuários do Hacker News apontaram que múltiplos sinais de risco ocorreram ao mesmo tempo, como mudança de país, remoção do telefone de recuperação e ausência de mudança dos registros MX
  • O autor explicou que vinha usando normalmente pelo mesmo IP por 6 dias após a mudança de país, e que a remoção do número de telefone foi o fator que atuou diretamente como causa
  • Era possível mudar os registros MX para Fastmail ou Protonmail, mas isso não era uma alternativa prática por causa dos e-mails existentes, do calendário e dos problemas de login via OAuth
  • A recuperação falhou mesmo com autenticação em dois fatores, passkeys, códigos de backup, e-mail de recuperação e acesso ao mesmo dispositivo
  • Este caso mostrou que a dependência excessiva de uma única conta do Google Workspace é um risco grave para a continuidade dos negócios

Leituras relacionadas

1 comentários

 
GN⁺ 24 일 전
Opiniões do Hacker News

  • O Google no passado parecia ser a “big tech menos maligna”, mas a experiência real de suporte ao cliente foi terrível
    Comprei um Pixel, mas não recebi a assinatura de 1 ano do Gemini AI Pro que havia sido prometida, e o atendimento não resolveu absolutamente nada
    Um amigo passou pelo mesmo problema, e durante a mudança de plano do Google One também teve uma experiência parecida de total falta de resposta
    Hoje em dia, a menos que você gaste milhões de dólares, não vejo motivo para escolher serviços do Google

    • Comprei um Pixel 6a, mas a bateria morreu após 400 ciclos de carga. O Google disse que daria uma compensação de 100 dólares, mas mesmo depois de enviar toda a documentação eu nunca recebi o dinheiro. Google é péssimo
    • O Google já era, desde muito tempo atrás, uma “empresa maligna” igual às outras big techs. “Don’t be evil” era só frase de PR
      Por volta de 2008, quando entrei em contato por causa de um bug no Blogspot, fui ignorado por um voluntário “diamante”. Não havia nenhum meio de acessar uma equipe real de suporte
    • Fico curioso se nesses casos daria para resolver via juizado de pequenas causas (small claims court). Queria saber se isso é um meio realista para o consumidor reagir a uma quebra de contrato
    • Minha conta do Adsense ficou suspensa por 13 anos e depois foi liberada sem que eu sequer soubesse o motivo. Provavelmente um concorrente enviou cliques falsos
    • O Google já havia quebrado, há uns 10 anos, a promessa de não usar dados dos usuários para publicidade
      Segundo a matéria Google’s broken privacy promise, removeu a cláusula que dizia que não combinaria informações obtidas em serviços como o Gmail com dados usados para anúncios

  • Saiu mais uma matéria do tipo “o provedor de nuvem bloqueou a conta e eu perdi tudo”
    Não só o Google, mas quem depende de serviços em nuvem da Amazon, Microsoft, Apple etc. precisa ter um plano para suspensão de conta
    Se você está confiando dados importantes a eles, backup ou meios alternativos são indispensáveis

    • Uma vez alguém disse: “não se apegue a um serviço de nuvem do qual você não consiga sair em 30 segundos” — citação de Robert De Niro
    • Nossa empresa usa Cubebackup para backup do Google Workspace
      É mais difícil do que parece manter um “backup externo” restaurável fora do serviço SaaS, mas isso é indispensável
    • Esse alerta é uma das coisas mais repetidas no HN. Só perde para “se você não usa Claude Code, está ficando para trás”
    • O Google é especialmente problemático porque pessoas comuns, sem conhecimento técnico, perdem a única conta de e-mail que têm e não fazem a menor ideia de como recuperá-la
    • Uma situação dessas é como ser “expulso de um prédio alugado e ainda ter seus pertences jogados fora”. No fim, a lei precisa mudar

  • O recurso “Login com Google/Apple/Facebook” deve ser evitado sempre que possível
    Porque ele cria um ponto único de falha. Sempre que possível, é mais seguro usar um sistema de login próprio
    Como ex-Googler, eu só usava Gmail enquanto tinha acesso interno, e depois que saí da empresa também abandonei o Gmail

    • Vi uma matéria dizendo que o sistema eIDAS da Alemanha exige contas do Google ou da Apple. Isso significa que a autenticação estatal fica subordinada às big techs
    • Nosso app também oferece login com Google/Facebook, mas as duas empresas bloqueiam logins automatizados com Selenium e coisas do tipo, então fica impossível fazer testes E2E
    • A Tailscale foi a única empresa que vi oferecendo apenas login de terceiros, o que me pareceu estranho. Alguém sabe o motivo?
    • A Tailscale, por outro lado, oferece SSO customizado gratuitamente

  • Sou administrador voluntário de sistemas do fórum Buildhub
    Durante 10 anos ele ficou bem posicionado na busca do Google, mas em 28 de dezembro de 2025 de repente sumiu do índice
    O fórum do Google está vazio e não há com quem falar. Como usuário pago do Workspace, estou considerando seriamente um plano de backup

    • Nos fóruns do Google, Microsoft e Apple há muita gente montando portfólio com respostas sem sentido
      Alguns parecem estar gamificando o sistema na esperança de conseguir convite para a sede do Google

  • Fui usuário inicial do Google Glass em 2013. Recebi treinamento diretamente na sede de Nova York e havia até um número de suporte dedicado com atendimento 24 horas
    Quebrei o aparelho duas vezes e me deram substituição gratuita nas duas. Antigamente esse tipo de suporte ao cliente era possível

    • Na época, na prática, nós éramos uma equipe voluntária de testes. Quando o produto muda de time, o interesse desaparece
    • Comparando os 8.000 primeiros usuários do Glass com as centenas de milhões de usuários do Workspace, a diferença na qualidade do suporte é algo natural
    • Aquela política de trocas ilimitadas era apenas custo de P&D, não caridade
    • Antigamente, quando eu ligava para o número de suporte do Google Wifi, atendiam na hora, mas hoje só escuto a mensagem de “suporte encerrado”
    • No caso dos reembolsos do Stadia, excepcionalmente recebi reembolso integral de todos os pagamentos.
      A qualidade do suporte ao cliente do Google varia enormemente de um departamento de produto para outro. O Workspace é especialmente horrível

  • Esse tipo de situação é de nível ilegal
    À medida que as gigantes passam a controlar mais partes da vida das pessoas, o cidadão comum fica cada vez mais impotente
    Se oferecem serviços essenciais, precisam assumir a responsabilidade correspondente

    • Serviços de nuvem usados por mais de 1% da população deveriam ser obrigados a manter centros de atendimento presenciais em cada cidade
      Como as operadoras de telecom, deveria haver funcionários em cada loja, e o Google tem plena capacidade para bancar isso
    • É preciso haver um canal governamental de reclamações contra big techs
    • “Exerting power” em vez de “Excreting power”: a expressão está errada, mas a imagem mental é divertida

  • Passei por um processo de recuperação de conta de administrador, e a política de segurança era contraditória
    Liberaram a conta manualmente, mas ainda assim exigiam autenticação por SMS para um número já apagado
    Mesmo adicionando chave de segurança ou TOTP, o SMS continuava obrigatório. Se o número for comprometido, acabou

    • Na minha conta do Gmail, a 2FA foi ativada à força sem aviso prévio.
      Mesmo com usuário, senha e e-mail de recuperação, eu não conseguia entrar porque pediam SMS para um número que eu não tinha mais
      A Meta ao menos tem gente que resolve se você pagar; o Google não tem nada disso

  • Se você usa Google Workspace sem uma equipe de operações de nível enterprise, uma única conta de administrador vira ponto único de falha
    Fiquei preso em um loop de autenticação e todos os meios ficaram bloqueados, e só consegui resolver depois de ameaçar ação judicial várias vezes até conseguir falar com uma pessoa

  • Também existe a possibilidade de o autor ter sido hackeado
    Talvez tenham obtido o dispositivo OTP ou acesso ao DNS, mas não o número de telefone
    Nesse tipo de situação, não há como provar que você é o verdadeiro titular. Seria bom existir um escritório onde fosse possível comparecer pessoalmente com passaporte para se identificar

    • Seria bom haver uma opção de registrar documento de identidade governamental de forma opcional
      Um modelo interessante é o do login.gov, em que a confirmação de identidade é feita nos correios
      Ainda assim, comercialmente isso é difícil de implementar, e há grande resistência à tendência de tornar obrigatória a verificação de identidade online
    • Se esse usuário realmente foi hackeado, então recuperar a conta do Gmail é impossível
      O Google prefere bloquear a conta a decidir quem está certo

  • Por incrível que pareça, a Microsoft (Office365) realmente tem uma equipe de suporte que atende por telefone
    A interface é terrível, mas no fim eles resolveram o problema

    • Também houve uma matéria dizendo que, na Azure, a automação é tão ruim que milhares de terceirizados corrigem os problemas manualmente
      Mas isso também tem a vantagem de haver bastante gente para de fato resolver os problemas
      Matéria relacionada: HN discussion