0
雷鋒網5月22日消息,據The Verge報道谷歌在今天的博客文章中披露了一個G Suite漏洞。該漏洞會導致部分G Suite用戶以純文本形式存儲密碼。
該漏洞自2005年以來一直存在,不過谷歌表示,他們沒有發現任何用戶密碼遭到濫用的證據。目前,谷歌已經重設所有可能受到影響的用戶密碼,并且告知G Suite管理員以減輕該問題造成的負面影響。
G Suite是谷歌推出的Gmail和Google的其他應用程序的企業版本,而此次漏洞的出現正是因為專門為公司設計的這一功能——在早期,G Suite應用程序的公司管理員可以手動設置用戶密碼。例如,在新員工加入之前,管理者可以通過控制臺輸入密碼,這會讓密碼最終以純文本形式輸入并存儲而不是采用數據(或其他更安全)的形式來保存。
現在,Google已經從管理員操作項中移除了該功能。
谷歌在博文中強調,雖然密碼是存儲在純文本里,但至少檔案還是留在谷歌的服務器當中。The Verge稱,這也許說明谷歌希望確保人們不把這項漏洞與其他科技公司發生的信息泄漏事件歸為同類,谷歌認為后者已經造成了隱私信息泄露的問題。
The Verge稱,這樣的例子實在太多了。
今年三月,Twitter建議所有3.3億用戶修改密碼。這是因為Facebook以純文本形式存儲了“數億”個密碼,其多達2萬名員工可以訪問這些密碼。Instagram不得不承認,Facebook的此次信息泄露實際上影響了數以百萬計的Instagram用戶(而不是此前披露的較小數量)。
就其本身而言,谷歌沒有明確說明有多少用戶可能受到這個漏洞的影響,谷歌在博文中只是寫道:“它影響了我們的企業G Suite客戶中的一部分用戶”————大概是2005年起使用G Suite的所有人吧,The Verge補充道。
雖然谷歌沒有找到任何惡意使用這種訪問方式的證據,但也不完全清楚誰會訪問(或者訪問過)這些純文本文件。當然,無法辯駁的是這個漏洞的確存在,因此谷歌在博文中致歉G Suite用戶:
我們非常重視企業客戶的安全,并為自己在客戶安全方面推進行業最佳實踐而自豪。在這里,我們沒有達到我們自己的標準,也沒有達到我們客戶的標準。我們向用戶道歉,我們會做得更好。
參考來源:The Verge
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
