在我的部落格上 關於最近發現的一個錯誤,該錯誤導致一些 G Suite 用戶的密碼未加密地儲存在純文字檔案中。 此錯誤自 2005 年以來一直存在。 然而,谷歌聲稱,它無法找到任何證據表明這些密碼落入攻擊者手中或被濫用。 不過,該公司將重設任何可能受影響的密碼,並將問題通知 G Suite 管理員。
G Suite 是 Gmail 和其他 Google 應用程式的企業版,該產品中出現的錯誤顯然是由於專門為企業設計的功能所致。 在服務開始時,公司管理員可以使用 G Suite 應用程式手動設定使用者密碼:例如,在新員工加入系統之前。 如果他使用此選項,管理控制台會將此類密碼儲存為純文本,而不是對其進行雜湊處理。 谷歌後來剝奪了管理員的這種能力,但密碼仍保留在文字檔案中。
在其貼文中,Google煞費苦心地解釋了加密雜湊的工作原理,以便清楚地表明與錯誤相關的細微差別。 儘管密碼以明文形式存儲,但它們位於Google伺服器上,因此第三方只能透過入侵伺服器來存取它們(除非他們是Google員工)。
谷歌並未透露有多少用戶可能受到影響,只是說這是「G Suite 企業客戶的子集」——可能是 2005 年使用過 G Suite 的任何用戶。 雖然谷歌找不到任何證據表明有人惡意使用此訪問權限,但尚不完全清楚誰可能訪問了這些文本文件。
無論如何,該問題現已解決,谷歌在其有關該問題的帖子中表示遺憾:「我們非常重視企業客戶的安全,並為推廣行業領先的帳戶安全實踐而感到自豪。 在這種情況下,我們沒有達到我們的標準或客戶的標準。 我們向用戶致歉,並承諾未來會做得更好。”
來源: 3dnews.ru