首页 > 科技未来 > 内容

该安全漏洞已潜伏了十四年，你的谷歌账户怎么样？

发布于：2024-06-18 编辑：匿名来源：网络

雷锋网消息，5月22日，谷歌在博客中透露，该公司近期发现了一个自2009年以来就存在的安全漏洞，导致部分G Suite企业用户的密码以明文形式存储。

目前尚不清楚有多少企业用户受到影响，但谷歌明确表示，没有证据表明用户的密码被非法访问。

此外，谷歌还积极采取补救措施，例如通知相关企业的G Suite管理员或重置可能受影响的账户密码等。

一个“隐藏”了十四年的漏洞被发现了。

G Suite是由Gmail、Google Cloud Drive、Google Docs等应用程序组成的办公套件。

谷歌今年2月透露，全球共有1万个组织订阅了该服务。

，其中包括 60% 的财富 500 强企业。

而该漏洞的存在正是因为谷歌专门为企业设计的一项功能。

2017年，为了方便企业管理会员账户，特别是帮助新员工入职，企业的G Suite管理员可以手动上传、设置和恢复会员密码。

但是，这种方法存在缺陷，因为它将密码以明文形式存储在管理控制台中，而不是将其散列到 Google 服务器。

这样，用户的密码就面临风险。

谷歌随后删除了该功能。

谷歌工程副总裁苏珊娜·弗雷(Suzanne Frey)表示：应该明确的是，尽管这些密码没有经过哈希处理和存储，但它们仍然保留在谷歌安全加密的基础设施中。

该问题现已解决，没有明确证据表明密码被不当访问或滥用。

此外，这些明文密码永久存储在 Google 服务器上，这使得它们比存储在开放互联网上的密码更难访问。

谷歌的官方声明还花了很多篇幅解释哈希加密存储是如何工作的，而且他们似乎不希望人们将这个漏洞与其他密码泄露归为同一类别。

尽管如此，人们仍然对局势感到担忧。

TrustedSec首席执行官大卫·肯尼迪表示：谷歌在这方面一直享有良好的声誉，但令人不安的是这一安全漏洞已经14年没有被发现了。

新漏洞已经“潜伏”了近半年。

图片来自：Angel Garcia/Bloomberg/Getty Images 雷锋网获悉，本月初，谷歌在对 G Suite 新用户注册流程进行排查时发现了另一个明文密码。

漏洞。

自今年1月起，新的G Suite用户完成注册后，谷歌内部系统将自动存储用户的明文密码。

这些未加密的密码最多可存储 14 天，但系统仅向有限数量的授权员工开放。

目前，这个存在了近半年的新漏洞也已经被修复，并且也没有证据表明数据被恶意访问。

Suzanne Frey 在博客中写道：除了密码之外，我们的身份验证系统还具有多层自动防御功能，即使恶意访问者知道密码，也可以防止他们登录。

此外，我们还为 G Suite 管理员提供两步验证 (2SV) 选项，包括我们自己的员工帐户所依赖的安全密钥。

雷锋网注：2VS即两步验证，最常见的形式是通过邮箱/手机验证码双重验证。

在博客的最后，Suzanne Frey 还表达了谷歌对此次事件的歉意。

文章写道：我们非常重视企业用户的安全，并对我们在用户安全方面的做法感到自豪。

然而，这一次我们没有达到我们自己的标准，也没有达到用户对我们的期望。

在此我们深表歉意，并会在今后努力做得更好。

许多公司都存在类似的安全漏洞。

雷锋网获悉，除了Google之外，Facebook、Instagram、Twitter和GitHub也都存在类似的安全漏洞。

今年3月，Facebook表示，“数亿”Facebook用户的密码以明文形式存储，多达2万名Facebook员工可以访问这些密码； Twitter今年3月还建议总共3.3亿Twitter用户更改密码。

然而，两家公司都认为自动重置用户密码是没有必要的。

TrustedSec首席执行官大卫·肯尼迪表示：“这些公司中的漏洞导致明文密码在内部被泄露。

然而，即使在公司内部，也可能造成严重的隐私和安全风险。

”一位发言人证实，谷歌已向数据保护监管机构通报了此次违规事件；出于谨慎考虑，谷歌还将通知密码面临风险的G Suite管理员，如果管理员没有重置密码，谷歌将帮助他们重置。