在我的博客上 关于最近发现的一个错误,该错误导致一些 G Suite 用户的密码未加密地存储在纯文本文件中。此错误自 2005 年以来一直存在。然而,谷歌声称,它无法找到任何证据表明这些密码落入攻击者手中或被滥用。不过,该公司将重置任何可能受影响的密码,并将该问题通知 G Suite 管理员。
G Suite 是 Gmail 和其他 Google 应用程序的企业版,该产品中出现的错误显然是由于专门为企业设计的功能所致。在服务开始时,公司管理员可以使用 G Suite 应用程序手动设置用户密码:例如,在新员工加入系统之前。如果他使用此选项,管理控制台会将此类密码保存为纯文本,而不是对其进行哈希处理。谷歌后来剥夺了管理员的这种能力,但密码仍保留在文本文件中。
在其帖子中,谷歌煞费苦心地解释了加密哈希的工作原理,以便清楚地表明与错误相关的细微差别。尽管密码以明文形式存储,但它们位于谷歌服务器上,因此第三方只能通过侵入服务器来访问它们(除非他们是谷歌员工)。
谷歌没有透露有多少用户可能受到影响,只是说这是“G Suite 企业客户的子集”——可能是 2005 年使用过 G Suite 的任何用户。虽然谷歌找不到任何证据表明有人恶意使用此访问权限,但尚不完全清楚谁可能有权访问这些文本文件。
无论如何,该问题现已得到解决,谷歌在其有关该问题的帖子中表示遗憾:“我们非常重视企业客户的安全,并为推广行业领先的帐户安全实践而感到自豪。在这种情况下,我们没有达到我们的标准或客户的标准。我们向用户致歉,并承诺未来会做得更好。”
来源: 3dnews.ru