谷歌发现漏洞:G Suite密码明文存储 长达十四年
谷歌在今天的博客文章中披露它最近发现了一个错误,导致部分G Suite用户以纯文本形式存储密码。该漏洞自2005年以来一直存在,尽管Google表示无法找到任何人的密码访问不当的证据。它正在重置可能受影响的任何密码,并让G Suite管理员了解该问题。
G Suite是Gmail和Google的其他应用程序的企业版本,显然这个产品中出现的错误是因为专门为公司设计的功能。在早期,G Suite应用程序的公司管理员可以手动设置用户密码 - 例如,在新员工加入之前 - 如果他们这样做,管理控制台会以纯文本形式存储这些密码而不是散列它们。此后,Google已从管理员中移除了该功能。
谷歌的帖子非常痛苦地解释加密哈希是如何工作的,可能是为了确保围绕这个错误的细微差别是明确的。尽管密码以纯文本形式存储,但它们至少以纯文本形式存储在Google的服务器中,因此,如果它们只是在开放的互联网上,它们就更难获得。虽然Google没有明确说明,但似乎还要确保人们不要将此错误归咎于与其他明文密码问题相同的类别,而这些密码已被泄露出去。
谷歌已经让用户重置了他们的密码
呵呵,已经有这么多的,因为有线笔记。由于违规行为, Twitter建议所有3.3亿用户在3月份更改密码。Facebook 以纯文本形式存储了 “数亿”密码,其中多达20,000名员工可以访问这些密码。Instagram不得不说,Facebook的漏洞实际上已经影响了数百万的Instagram用户(而不是之前披露的较小数字)。
就其本身而言,谷歌没有说明有多少用户可能受到这个错误的影响,除了说它影响了“我们的企业G Suite客户的一部分” - 可能是2005年使用G Suite的任何人。尽管Google无法做到找到任何人恶意使用此访问权限的证据,并不完全清楚谁也可以访问这些纯文本文件。
在任何情况下,它现在已经修复,Google在其关于整个问题的帖子中表示相应的抱歉:
我们非常重视企业客户的安全,并为推进行业最佳的帐户安全实践而感到自豪。在这里,我们没有达到我们自己的标准,也没有达到我们客户的标准。我们向用户道歉,并会做得更好。