京东6.18大促主会场领京享红包更优惠

 找回密码
 立即注册

QQ登录

只需一步,快速开始

查看: 626|回复: 0

安全漏洞潜伏十四年,你的 Google 账号还好吗?

[复制链接]

11

主题

0

回帖

10

积分

新手上路

积分
10
发表于 2019-5-22 23:19:35 | 显示全部楼层 |阅读模式 来自 中国

, A! ~' d+ Z% |+ Q雷锋网消息,5 月 22 日,Google 在博客中透露,公司最近发现了自 2005 年起就存在的安全漏洞,漏洞导致部分 G Suite 企业用户的密码以明文形式储存。
; i' `% o; b6 z4 k目前尚不清楚有多少企业用户受到了影响,但 Google 明确表示,暂无证据表明用户的密码被非法访问过。此外,Google 也在积极地采取补救措施,比如通知相关企业的 G Suite 管理员,或重置可能受到影响的账户密码。7 l. K! A1 Z4 G/ {8 F- _& [
“隐秘”了十四年的漏洞被发现
) F5 b1 R% d! d9 z) ?5 z" @' m- g$ r9 g

) d# O' f  ?3 B+ S! qG Suite 是由 Gmail、Google 云盘、Google 文档等应用程序组合而成的一个办公套件,Google 在今年 2 月份透露,全球共有 500 万个组织订阅了该服务,其中包括 60% 的财富 500 强公司。
5 P( f6 p. c6 d* I2 h: p1 t而该漏洞之所以出现,恰恰是因为 Google 专为企业设计的功能。. j: R& j7 e3 X" Y  b/ i& \1 w
2005 年,为了方便企业管理成员的账号,尤其是帮助新员工入职,企业的 G Suite 管理员能够手动上传、设置和恢复成员的密码。然而,这种方式存在缺陷,因为它会将密码以明文的形式储存到管理控制台,而非通过哈希加密储存到 Google 服务器。+ C' _1 ~, h6 ?) n. A
这样一来,用户的密码就处在了风险之中。随后,Google 删除了这一功能。
) a* {0 p. O4 N( {$ L% rGoogle 工程部副总裁 Suzanne Frey 说道:7 c4 P0 ^  d5 z2 ?3 s& x; P. O
我们应该明确这一点,虽然这些密码没有经过哈希加密储存,但它们仍保留 Google 经过安全加密的基础设施中。现在,这个问题已得到解决,而且也没有明确证据表明这些密码遭到了不当访问或滥用。另外,这些明文密码一直存储在 Google 服务器里,比存储到开放互联网上的密码更难访问。
1 Q  a0 }) y! K9 P. y* k- \
$ ~9 l% e* s; Z, s4 E
Google 的官方声明中还花了大量篇幅来解释哈希加密存储的工作原理,他们似乎不希望人们把这个漏洞与其他密码泄露问题归为一类。
% y( \; x) K$ K+ v' r4 M4 u3 d0 y不过,人们还是对这一情况感到担忧。TrustedSec 公司的 CEO David Kennedy 说道:
8 \* |$ ?( U/ x) l7 }
Google 在这方面一直拥有良好的声誉,然而,这个安全漏洞存在了十四年之久至今才被发现,这难免会让人感到不安。: V# \5 Q% h0 i9 u  }9 I) m
新漏洞“潜伏”了近半年之久+ j% [. t! |; S  H

' U4 f) H( k% {( N+ x
  w4 X" X  @: Y6 ]图片来自:Angel Garcia / Bloomberg / Getty Images
0 Y! o3 n$ l+ w2 @/ \5 A$ a雷锋网获悉,本月早些时候,Google 在对 G Suite 新用户注册流程进行故障排除时,发现了另一个明文密码漏洞。
& |2 Z, P9 z( e* @( r自今年 1 月起,在 G Suite 新用户完成注册之后,Google 内部系统会自动地存储用户的明文密码,这些未加密的密码最多保存了 14 天,不过该系统只对数量有限的授权员工开放。
/ @. N9 o6 x4 t' N+ q: m; B) _目前,这个存在了近半年的新漏洞也得到了修复,而且,同样没有证据表明这些数据遭到了恶意访问。% d0 I. [8 A" e2 J
Suzanne Frey 在博客中写道:
5 X+ y4 c& q; F2 S8 z' r+ Q
除了密码之外,我们的身份验证系统还具有多层自动防御系统,即使恶意访问者知道密码,系统也会阻止它登录。此外,我们还为 G Suite 管理员提供了 “两步验证”(2SV)选项,包括安全密钥,我们自己的员工帐户就依赖于这些密钥。- h4 T' P( R) J! T
7 j) d9 i" V% v8 b. A( c$ d
雷锋网注:2VS 即 2-step verification,最常见的表现形式为通过邮箱/手机验证码进行双重验证
6 M8 z. R* a5 e4 e' {在博客的最后,Suzanne Frey 还表达了 Google 对此次事件的歉意,文中写道:
; b" h; C* _& ?1 r6 P
我们非常重视企业用户的安全,并为自己在用户安全方面的实践而自豪。不过,这一次我们没有达到自己的标准,也没有达到用户对我们的期望。我们在此表示歉意,以后会努力做到更好。
5 [/ p4 e! [, k, k
雷锋网获悉,除了 Google,Facebook、Instagram、Twitter 和 GitHub 都曾存在类似的安全漏洞。+ \4 W" I6 E/ |! ?8 r1 U, I- C  V3 y
今年 3 月,Facebook 表示,“数亿”Facebook 用户的密码以明文形式存储,多达 2 万名 Facebook 员工可以访问这些密码;Twitter 也在今年3月建议总数为 3.3 亿的 Twitter 用户修改自己的密码。不过,这两家公司都认为没有必要自动重置用户密码。
' P7 d( v' i4 L3 n" u( i8 YTrustedSec 公司的 CEO David Kennedy 说道:
5 ~. `- G" k+ L! B
这些公司的漏洞导致明文密码在内部公开,然而,即使是在公司内部,它也会带来严重的隐私和安全隐患。
, w7 ~# w% }9 s6 T  d1 J
一位发言人证实,Google 已将本次的漏洞事件向数据保护监管机构进行了通报;出于极大的谨慎,Google 还将通知那些密码处在威胁之中的 G Suite 管理员,如果管理员没有重置密码,Google 则会帮助他们重置。! G% \7 N1 j7 z- X$ F
Google 在事后主动向相关的监管机构通报,并积极联系企业重置密码,也算是亡羊补牢了。& J5 [* ~3 w$ r- }3 G: C( X; q& a
不过,Google 在长达十四年的时间里都未能发现这个安全漏洞,那么发现下一个漏洞要花多长时间呢?谁又会为这些漏洞买单呢?
2 {: K! B; Q( q" {. y/ J3 Z$ E4 ~; t
来源:http://www.yidianzixun.com/article/0M491Tgn
: i8 O# B  @1 R" t免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

×

帖子地址: 

梦想之都-俊月星空 优酷自频道欢迎您 http://i.youku.com/zhaojun917
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|手机版|小黑屋|梦想之都-俊月星空 ( 粤ICP备18056059号 )|网站地图

GMT+8, 2026-7-17 17:05 , Processed in 0.037535 second(s), 24 queries .

Powered by Mxzdjyxk! X3.5

© 2001-2026 Discuz! Team.

快速回复 返回顶部 返回列表