【烽巢网】
在今天的一篇博客文章中,谷歌透露,它最近发现了一个漏洞,导致部分G Suite用户的密码以纯文本形式存储。该漏洞自2005年以来一直存在,不过谷歌说,它找不到任何证据表明任何人的密码被不当访问。它正在重置任何可能受到影响的密码,并让G Suite管理员知道这个问题。
G Suite是Gmail和谷歌的其他应用程序的企业版,很明显,这个bug出现在这个产品中是因为它有一个专门为企业设计的功能。在早期,G Suite应用程序的公司管理员可以手动设置用户密码(比如,在新员工加入之前),如果他们这样做了,管理控制台将以纯文本形式存储这些密码,而不是散列它们。此后,谷歌从管理员那里删除了该功能。
谷歌的文章煞费苦心地解释了密码散列的工作原理,可能是为了确保围绕这个bug的细微差别是清楚的。虽然密码是以纯文本形式存储的,但它们至少是以纯文本形式存储在谷歌的服务器中,因此要访问它们比在开放的internet上访问更困难。虽然谷歌没有明确说明,但它似乎也想确保人们不会把这个bug与其他密码泄露的纯文本密码问题归为一类。
而且,正如《连线》杂志所言,这样的例子太多了。今年3月,Twitter建议所有3.3亿用户修改密码。Facebook以纯文本形式存储了“数亿”个密码,其多达2万名员工可以访问这些密码。Instagram不得不承认,Facebook的入侵实际上影响了数以百万计的Instagram用户(而不是此前披露的较小数量)。
就其本身而言,谷歌并没有说明有多少用户可能受到这个bug的影响,只是说它影响了“我们企业G Suite客户的一个子集”——大概是2005年使用G Suite的任何人。虽然谷歌没有找到任何人恶意使用这种访问的证据,但也不完全清楚谁会访问这些纯文本文件。
无论如何,它现在是固定的,谷歌在其帖子中对整个问题表示歉意:
我们非常重视企业客户的安全,并为自己在客户安全方面推进行业最佳实践而自豪。在这里,我们没有达到我们自己的标准,也没有达到我们客户的标准。我们向用户道歉,我们会做得更好。
