安全漏洞潜伏十四年，你的 Google 账号还好吗？

MyTWbwzg

雷锋网消息，5 月 22 日，Google 在博客中透露，公司最近发现了自 2005 年起就存在的安全漏洞，漏洞导致部分 G Suite 企业用户的密码以明文形式储存。
目前尚不清楚有多少企业用户受到了影响，但 Google 明确表示，暂无证据表明用户的密码被非法访问过。此外，Google 也在积极地采取补救措施，比如通知相关企业的 G Suite 管理员，或重置可能受到影响的账户密码。
“隐秘”了十四年的漏洞被发现


: ?: }; H) ~1 u* k1 ^  \G Suite 是由 Gmail、Google 云盘、Google 文档等应用程序组合而成的一个办公套件，Google 在今年 2 月份透露，全球共有 500 万个组织订阅了该服务，其中包括 60% 的财富 500 强公司。
而该漏洞之所以出现，恰恰是因为 Google 专为企业设计的功能。
7 T2 Z" p; {8 L1 d9 J9 Q* u2005 年，为了方便企业管理成员的账号，尤其是帮助新员工入职，企业的 G Suite 管理员能够手动上传、设置和恢复成员的密码。然而，这种方式存在缺陷，因为它会将密码以明文的形式储存到管理控制台，而非通过哈希加密储存到 Google 服务器。
1 g4 d1 F0 }2 i: R/ \2 p) h这样一来，用户的密码就处在了风险之中。随后，Google 删除了这一功能。
Google 工程部副总裁 Suzanne Frey 说道：
+ h; q5 p9 g- H3 B6 @1 k/ x2 G  j

我们应该明确这一点，虽然这些密码没有经过哈希加密储存，但它们仍保留 Google 经过安全加密的基础设施中。现在，这个问题已得到解决，而且也没有明确证据表明这些密码遭到了不当访问或滥用。另外，这些明文密码一直存储在 Google 服务器里，比存储到开放互联网上的密码更难访问。

/ G; f# w$ n* f2 e( w9 IGoogle 的官方声明中还花了大量篇幅来解释哈希加密存储的工作原理，他们似乎不希望人们把这个漏洞与其他密码泄露问题归为一类。
不过，人们还是对这一情况感到担忧。TrustedSec 公司的 CEO David Kennedy 说道：

Google 在这方面一直拥有良好的声誉，然而，这个安全漏洞存在了十四年之久至今才被发现，这难免会让人感到不安。
8 Q$ E1 u$ u8 _1 b# ^$ H8 D

新漏洞“潜伏”了近半年之久
) ^9 |, B9 M, O( c- |/ }3 \( u

1 G5 @3 N0 }% m" M1 Z图片来自：Angel Garcia / Bloomberg / Getty Images
4 r" p% G1 a' e- v% ?雷锋网获悉，本月早些时候，Google 在对 G Suite 新用户注册流程进行故障排除时，发现了另一个明文密码漏洞。
6 e. L$ n: U" N9 {4 }5 K自今年 1 月起，在 G Suite 新用户完成注册之后，Google 内部系统会自动地存储用户的明文密码，这些未加密的密码最多保存了 14 天，不过该系统只对数量有限的授权员工开放。
目前，这个存在了近半年的新漏洞也得到了修复，而且，同样没有证据表明这些数据遭到了恶意访问。
& b& e! j$ f' k9 d9 pSuzanne Frey 在博客中写道：
, T2 G' G' @1 |6 e

除了密码之外，我们的身份验证系统还具有多层自动防御系统，即使恶意访问者知道密码，系统也会阻止它登录。此外，我们还为 G Suite 管理员提供了 “两步验证”（2SV）选项，包括安全密钥，我们自己的员工帐户就依赖于这些密钥。
9 o# _: i2 a$ q; d

. K5 ^" A+ U! Z4 n3 x+ e+ E) E% I雷锋网注：2VS 即 2-step verification，最常见的表现形式为通过邮箱/手机验证码进行双重验证
在博客的最后，Suzanne Frey 还表达了 Google 对此次事件的歉意，文中写道：
3 W) D( f% u3 L2 w

我们非常重视企业用户的安全，并为自己在用户安全方面的实践而自豪。不过，这一次我们没有达到自己的标准，也没有达到用户对我们的期望。我们在此表示歉意，以后会努力做到更好。
8 T# G2 f/ \1 V

雷锋网获悉，除了 Google，Facebook、Instagram、Twitter 和 GitHub 都曾存在类似的安全漏洞。
今年 3 月，Facebook 表示，“数亿”Facebook 用户的密码以明文形式存储，多达 2 万名 Facebook 员工可以访问这些密码；Twitter 也在今年3月建议总数为 3.3 亿的 Twitter 用户修改自己的密码。不过，这两家公司都认为没有必要自动重置用户密码。
1 e; Q' K" O# o# U( l/ ]. H  I% m! YTrustedSec 公司的 CEO David Kennedy 说道：
, h* }$ z% j' k( e; ]

这些公司的漏洞导致明文密码在内部公开，然而，即使是在公司内部，它也会带来严重的隐私和安全隐患。

一位发言人证实，Google 已将本次的漏洞事件向数据保护监管机构进行了通报；出于极大的谨慎，Google 还将通知那些密码处在威胁之中的 G Suite 管理员，如果管理员没有重置密码，Google 则会帮助他们重置。
4 @& n+ W, j3 s# R5 T( |: gGoogle 在事后主动向相关的监管机构通报，并积极联系企业重置密码，也算是亡羊补牢了。
* P: F, l. T( K8 Y不过，Google 在长达十四年的时间里都未能发现这个安全漏洞，那么发现下一个漏洞要花多长时间呢？谁又会为这些漏洞买单呢？
) f7 V2 r( U2 ~5 H! `8 p4 o9 X
( Y" _7 G/ v0 W+ p% r; e* E  x来源：http://www.yidianzixun.com/article/0M491Tgn
8 v0 a1 }1 H; Q( o免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！