[[266249]]

5 月 22 日，Google 在博客中透露，公司最近發(fā)現(xiàn)了自 2005 年起就存在的安全漏洞，漏洞導(dǎo)致部分 G Suite 企業(yè)用戶(hù)的密碼以明文形式儲(chǔ)存。

目前尚不清楚有多少企業(yè)用戶(hù)受到了影響，但 Google 明確表示，暫無(wú)證據(jù)表明用戶(hù)的密碼被非法訪問(wèn)過(guò)。此外，Google 也在積極地采取補(bǔ)救措施，比如通知相關(guān)企業(yè)的 G Suite 管理員，或重置可能受到影響的賬戶(hù)密碼。

“隱秘”了十四年的漏洞被發(fā)現(xiàn) 

G Suite 是由 Gmail、Google 云盤(pán)、Google 文檔等應(yīng)用程序組合而成的一個(gè)辦公套件，Google 在今年 2 月份透露，全球共有 500 萬(wàn)個(gè)組織訂閱了該服務(wù)，其中包括 60% 的財(cái)富 500 強(qiáng)公司。

而該漏洞之所以出現(xiàn)，恰恰是因?yàn)?Google 專(zhuān)為企業(yè)設(shè)計(jì)的功能。

2005 年，為了方便企業(yè)管理成員的賬號(hào)，尤其是幫助新員工入職，企業(yè)的 G Suite 管理員能夠手動(dòng)上傳、設(shè)置和恢復(fù)成員的密碼。然而，這種方式存在缺陷，因?yàn)樗鼤?huì)將密碼以明文的形式儲(chǔ)存到管理控制臺(tái)，而非通過(guò)哈希加密儲(chǔ)存到 Google 服務(wù)器。

這樣一來(lái)，用戶(hù)的密碼就處在了風(fēng)險(xiǎn)之中。隨后，Google 刪除了這一功能。

Google 工程部副總裁 Suzanne Frey 說(shuō)道：

• 我們應(yīng)該明確這一點(diǎn)，雖然這些密碼沒(méi)有經(jīng)過(guò)哈希加密儲(chǔ)存，但它們?nèi)员Ａ?Google 經(jīng)過(guò)安全加密的基礎(chǔ)設(shè)施中?，F(xiàn)在，這個(gè)問(wèn)題已得到解決，而且也沒(méi)有明確證據(jù)表明這些密碼遭到了不當(dāng)訪問(wèn)或?yàn)E用。另外，這些明文密碼一直存儲(chǔ)在 Google 服務(wù)器里，比存儲(chǔ)到開(kāi)放互聯(lián)網(wǎng)上的密碼更難訪問(wèn)。 

Google 的官方聲明中還花了大量篇幅來(lái)解釋哈希加密存儲(chǔ)的工作原理，他們似乎不希望人們把這個(gè)漏洞與其他密碼泄露問(wèn)題歸為一類(lèi)。

不過(guò)，人們還是對(duì)這一情況感到擔(dān)憂。TrustedSec 公司的 CEO David Kennedy 說(shuō)道：

Google 在這方面一直擁有良好的聲譽(yù)，然而，這個(gè)安全漏洞存在了十四年之久至今才被發(fā)現(xiàn)，這難免會(huì)讓人感到不安。

新漏洞“潛伏”了近半年之久 

圖片來(lái)自：Angel Garcia / Bloomberg / Getty Images

雷鋒網(wǎng)獲悉，本月早些時(shí)候，Google 在對(duì) G Suite 新用戶(hù)注冊(cè)流程進(jìn)行故障排除時(shí)，發(fā)現(xiàn)了另一個(gè)明文密碼漏洞。

自今年 1 月起，在 G Suite 新用戶(hù)完成注冊(cè)之后，Google 內(nèi)部系統(tǒng)會(huì)自動(dòng)地存儲(chǔ)用戶(hù)的明文密碼，這些未加密的密碼最多保存了 14 天，不過(guò)該系統(tǒng)只對(duì)數(shù)量有限的授權(quán)員工開(kāi)放。

目前，這個(gè)存在了近半年的新漏洞也得到了修復(fù)，而且，同樣沒(méi)有證據(jù)表明這些數(shù)據(jù)遭到了惡意訪問(wèn)。

Suzanne Frey 在博客中寫(xiě)道：

除了密碼之外，我們的身份驗(yàn)證系統(tǒng)還具有多層自動(dòng)防御系統(tǒng)，即使惡意訪問(wèn)者知道密碼，系統(tǒng)也會(huì)阻止它登錄。此外，我們還為 G Suite 管理員提供了 “兩步驗(yàn)證”(2SV)選項(xiàng)，包括安全密鑰，我們自己的員工帳戶(hù)就依賴(lài)于這些密鑰。 

雷鋒網(wǎng)注：2VS 即 2-step verification，最常見(jiàn)的表現(xiàn)形式為通過(guò)郵箱/手機(jī)驗(yàn)證碼進(jìn)行雙重驗(yàn)證

在博客的最后，Suzanne Frey 還表達(dá)了 Google 對(duì)此次事件的歉意，文中寫(xiě)道：

我們非常重視企業(yè)用戶(hù)的安全，并為自己在用戶(hù)安全方面的實(shí)踐而自豪。不過(guò)，這一次我們沒(méi)有達(dá)到自己的標(biāo)準(zhǔn)，也沒(méi)有達(dá)到用戶(hù)對(duì)我們的期望。我們?cè)诖吮硎厩敢?，以后?huì)努力做到更好。

多家企業(yè)存在類(lèi)似安全漏洞

雷鋒網(wǎng)獲悉，除了 Google，F(xiàn)acebook、Instagram、Twitter 和 GitHub 都曾存在類(lèi)似的安全漏洞。

今年 3 月，F(xiàn)acebook 表示，“數(shù)億”Facebook 用戶(hù)的密碼以明文形式存儲(chǔ)，多達(dá) 2 萬(wàn)名 Facebook 員工可以訪問(wèn)這些密碼;Twitter 也在今年3月建議總數(shù)為 3.3 億的 Twitter 用戶(hù)修改自己的密碼。不過(guò)，這兩家公司都認(rèn)為沒(méi)有必要自動(dòng)重置用戶(hù)密碼。

TrustedSec 公司的 CEO David Kennedy 說(shuō)道：

這些公司的漏洞導(dǎo)致明文密碼在內(nèi)部公開(kāi)，然而，即使是在公司內(nèi)部，它也會(huì)帶來(lái)嚴(yán)重的隱私和安全隱患。

一位發(fā)言人證實(shí)，Google 已將本次的漏洞事件向數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)進(jìn)行了通報(bào);出于極大的謹(jǐn)慎，Google 還將通知那些密碼處在威脅之中的 G Suite 管理員，如果管理員沒(méi)有重置密碼，Google 則會(huì)幫助他們重置。

Google 在事后主動(dòng)向相關(guān)的監(jiān)管機(jī)構(gòu)通報(bào)，并積極聯(lián)系企業(yè)重置密碼，也算是亡羊補(bǔ)牢了。

不過(guò)，Google 在長(zhǎng)達(dá)十四年的時(shí)間里都未能發(fā)現(xiàn)這個(gè)安全漏洞，那么發(fā)現(xiàn)下一個(gè)漏洞要花多長(zhǎng)時(shí)間呢?誰(shuí)又會(huì)為這些漏洞買(mǎi)單呢?

本文轉(zhuǎn)自雷鋒網(wǎng)，如需轉(zhuǎn)載請(qǐng)至雷鋒網(wǎng)官網(wǎng)申請(qǐng)授權(quán)。