[[266249]]

5 月 22 日，Google 在博客中透露，公司最近發(fā)現(xiàn)了自 2005 年起就存在的安全漏洞，漏洞導(dǎo)致部分 G Suite 企業(yè)用戶的密碼以明文形式儲存。

目前尚不清楚有多少企業(yè)用戶受到了影響，但 Google 明確表示，暫無證據(jù)表明用戶的密碼被非法訪問過。此外，Google 也在積極地采取補(bǔ)救措施，比如通知相關(guān)企業(yè)的 G Suite 管理員，或重置可能受到影響的賬戶密碼。

“隱秘”了十四年的漏洞被發(fā)現(xiàn) 

G Suite 是由 Gmail、Google 云盤、Google 文檔等應(yīng)用程序組合而成的一個(gè)辦公套件，Google 在今年 2 月份透露，全球共有 500 萬個(gè)組織訂閱了該服務(wù)，其中包括 60% 的財(cái)富 500 強(qiáng)公司。

而該漏洞之所以出現(xiàn)，恰恰是因?yàn)?Google 專為企業(yè)設(shè)計(jì)的功能。

2005 年，為了方便企業(yè)管理成員的賬號，尤其是幫助新員工入職，企業(yè)的 G Suite 管理員能夠手動(dòng)上傳、設(shè)置和恢復(fù)成員的密碼。然而，這種方式存在缺陷，因?yàn)樗鼤?huì)將密碼以明文的形式儲存到管理控制臺，而非通過哈希加密儲存到 Google 服務(wù)器。

這樣一來，用戶的密碼就處在了風(fēng)險(xiǎn)之中。隨后，Google 刪除了這一功能。

Google 工程部副總裁 Suzanne Frey 說道：

• 我們應(yīng)該明確這一點(diǎn)，雖然這些密碼沒有經(jīng)過哈希加密儲存，但它們?nèi)员Ａ?Google 經(jīng)過安全加密的基礎(chǔ)設(shè)施中?，F(xiàn)在，這個(gè)問題已得到解決，而且也沒有明確證據(jù)表明這些密碼遭到了不當(dāng)訪問或?yàn)E用。另外，這些明文密碼一直存儲在 Google 服務(wù)器里，比存儲到開放互聯(lián)網(wǎng)上的密碼更難訪問。 

Google 的官方聲明中還花了大量篇幅來解釋哈希加密存儲的工作原理，他們似乎不希望人們把這個(gè)漏洞與其他密碼泄露問題歸為一類。

不過，人們還是對這一情況感到擔(dān)憂。TrustedSec 公司的 CEO David Kennedy 說道：

Google 在這方面一直擁有良好的聲譽(yù)，然而，這個(gè)安全漏洞存在了十四年之久至今才被發(fā)現(xiàn)，這難免會(huì)讓人感到不安。

新漏洞“潛伏”了近半年之久 

圖片來自：Angel Garcia / Bloomberg / Getty Images

雷鋒網(wǎng)獲悉，本月早些時(shí)候，Google 在對 G Suite 新用戶注冊流程進(jìn)行故障排除時(shí)，發(fā)現(xiàn)了另一個(gè)明文密碼漏洞。

自今年 1 月起，在 G Suite 新用戶完成注冊之后，Google 內(nèi)部系統(tǒng)會(huì)自動(dòng)地存儲用戶的明文密碼，這些未加密的密碼最多保存了 14 天，不過該系統(tǒng)只對數(shù)量有限的授權(quán)員工開放。

目前，這個(gè)存在了近半年的新漏洞也得到了修復(fù)，而且，同樣沒有證據(jù)表明這些數(shù)據(jù)遭到了惡意訪問。

Suzanne Frey 在博客中寫道：

除了密碼之外，我們的身份驗(yàn)證系統(tǒng)還具有多層自動(dòng)防御系統(tǒng)，即使惡意訪問者知道密碼，系統(tǒng)也會(huì)阻止它登錄。此外，我們還為 G Suite 管理員提供了 “兩步驗(yàn)證”(2SV)選項(xiàng)，包括安全密鑰，我們自己的員工帳戶就依賴于這些密鑰。 

雷鋒網(wǎng)注：2VS 即 2-step verification，最常見的表現(xiàn)形式為通過郵箱/手機(jī)驗(yàn)證碼進(jìn)行雙重驗(yàn)證

在博客的最后，Suzanne Frey 還表達(dá)了 Google 對此次事件的歉意，文中寫道：

我們非常重視企業(yè)用戶的安全，并為自己在用戶安全方面的實(shí)踐而自豪。不過，這一次我們沒有達(dá)到自己的標(biāo)準(zhǔn)，也沒有達(dá)到用戶對我們的期望。我們在此表示歉意，以后會(huì)努力做到更好。

多家企業(yè)存在類似安全漏洞

雷鋒網(wǎng)獲悉，除了 Google，F(xiàn)acebook、Instagram、Twitter 和 GitHub 都曾存在類似的安全漏洞。

今年 3 月，F(xiàn)acebook 表示，“數(shù)億”Facebook 用戶的密碼以明文形式存儲，多達(dá) 2 萬名 Facebook 員工可以訪問這些密碼;Twitter 也在今年3月建議總數(shù)為 3.3 億的 Twitter 用戶修改自己的密碼。不過，這兩家公司都認(rèn)為沒有必要自動(dòng)重置用戶密碼。

TrustedSec 公司的 CEO David Kennedy 說道：

這些公司的漏洞導(dǎo)致明文密碼在內(nèi)部公開，然而，即使是在公司內(nèi)部，它也會(huì)帶來嚴(yán)重的隱私和安全隱患。

一位發(fā)言人證實(shí)，Google 已將本次的漏洞事件向數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)進(jìn)行了通報(bào);出于極大的謹(jǐn)慎，Google 還將通知那些密碼處在威脅之中的 G Suite 管理員，如果管理員沒有重置密碼，Google 則會(huì)幫助他們重置。

Google 在事后主動(dòng)向相關(guān)的監(jiān)管機(jī)構(gòu)通報(bào)，并積極聯(lián)系企業(yè)重置密碼，也算是亡羊補(bǔ)牢了。

不過，Google 在長達(dá)十四年的時(shí)間里都未能發(fā)現(xiàn)這個(gè)安全漏洞，那么發(fā)現(xiàn)下一個(gè)漏洞要花多長時(shí)間呢?誰又會(huì)為這些漏洞買單呢?

本文轉(zhuǎn)自雷鋒網(wǎng)，如需轉(zhuǎn)載請至雷鋒網(wǎng)官網(wǎng)申請授權(quán)。