雷鋒網(公衆号:雷鋒網)消息,5 月 22 日,Google 在部落格中透露,公司最近發現了自 2005 年起就存在的安全漏洞,漏洞導緻部分 G Suite 企業使用者的密碼以明文形式儲存。
目前尚不清楚有多少企業使用者受到了影響,但 Google 明确表示,暫無證據表明使用者的密碼被非法通路過。此外,Google 也在積極地采取補救措施,比如通知相關企業的 G Suite 管理者,或重置可能受到影響的賬戶密碼。
“隐秘”了十四年的漏洞被發現
G Suite 是由 Gmail、Google 雲盤、Google 文檔等應用程式組合而成的一個辦公套件,Google 在今年 2 月份透露,全球共有 500 萬個組織訂閱了該服務,其中包括 60% 的财富 500 強公司。
而該漏洞之是以出現,恰恰是因為 Google 專為企業設計的功能。
2005 年,為了友善企業管理成員的賬号,尤其是幫助新員工入職,企業的 G Suite 管理者能夠手動上傳、設定和恢複成員的密碼。然而,這種方式存在缺陷,因為它會将密碼以明文的形式儲存到管理控制台,而非通過哈希加密儲存到 Google 伺服器。
這樣一來,使用者的密碼就處在了風險之中。随後,Google 删除了這一功能。
Google 工程部副總裁 Suzanne Frey 說道:
我們應該明确這一點,雖然這些密碼沒有經過哈希加密儲存,但它們仍保留 Google 經過安全加密的基礎設施中。現在,這個問題已得到解決,而且也沒有明确證據表明這些密碼遭到了不當通路或濫用。另外,這些明文密碼一直存儲在 Google 伺服器裡,比存儲到開放網際網路上的密碼更難通路。
Google 的官方聲明中還花了大量篇幅來解釋哈希加密存儲的工作原理,他們似乎不希望人們把這個漏洞與其他密碼洩露問題歸為一類。
不過,人們還是對這一情況感到擔憂。TrustedSec 公司的 CEO David Kennedy 說道:
Google 在這方面一直擁有良好的聲譽,然而,這個安全漏洞存在了十四年之久至今才被發現,這難免會讓人感到不安。
新漏洞“潛伏”了近半年之久
圖檔來自:Angel Garcia / Bloomberg / Getty Images
雷鋒網獲悉,本月早些時候,Google 在對 G Suite 新使用者注冊流程進行故障排除時,發現了另一個明文密碼漏洞。
自今年 1 月起,在 G Suite 新使用者完成注冊之後,Google 内部系統會自動地存儲使用者的明文密碼,這些未加密的密碼最多儲存了 14 天,不過該系統隻對數量有限的授權員工開放。
目前,這個存在了近半年的新漏洞也得到了修複,而且,同樣沒有證據表明這些資料遭到了惡意通路。
Suzanne Frey 在部落格中寫道:
除了密碼之外,我們的身份驗證系統還具有多層自動防禦系統,即使惡意通路者知道密碼,系統也會阻止它登入。此外,我們還為 G Suite 管理者提供了 “兩步驗證”(2SV)選項,包括安全密鑰,我們自己的員工帳戶就依賴于這些密鑰。
雷鋒網注:2VS 即 2-step verification,最常見的表現形式為通過郵箱/手機驗證碼進行雙重驗證
在部落格的最後,Suzanne Frey 還表達了 Google 對此次事件的歉意,文中寫道:
我們非常重視企業使用者的安全,并為自己在使用者安全方面的實踐而自豪。不過,這一次我們沒有達到自己的标準,也沒有達到使用者對我們的期望。我們在此表示歉意,以後會努力做到更好。
多家企業存在類似安全漏洞
雷鋒網獲悉,除了 Google,Facebook、Instagram、Twitter 和 GitHub 都曾存在類似的安全漏洞。
今年 3 月,Facebook 表示,“數億”Facebook 使用者的密碼以明文形式存儲,多達 2 萬名 Facebook 員工可以通路這些密碼;Twitter 也在今年3月建議總數為 3.3 億的 Twitter 使用者修改自己的密碼。不過,這兩家公司都認為沒有必要自動重置使用者密碼。
TrustedSec 公司的 CEO David Kennedy 說道:
這些公司的漏洞導緻明文密碼在内部公開,然而,即使是在公司内部,它也會帶來嚴重的隐私和安全隐患。
一位發言人證明,Google 已将本次的漏洞事件向資料保護監管機構進行了通報;出于極大的謹慎,Google 還将通知那些密碼處在威脅之中的 G Suite 管理者,如果管理者沒有重置密碼,Google 則會幫助他們重置。
Google 在事後主動向相關的監管機構通報,并積極聯系企業重置密碼,也算是亡羊補牢了。
不過,Google 在長達十四年的時間裡都未能發現這個安全漏洞,那麼發現下一個漏洞要花多長時間呢?誰又會為這些漏洞買單呢?
雷鋒網版權文章,未經授權禁止轉載。詳情見轉載須知。