谷歌用純文本存儲了一些密碼十四年

在今天的博客文章中，谷歌披露它最近發(fā)現(xiàn)了一個錯誤，導(dǎo)致部分G Suite用戶以純文本形式存儲密碼。該漏洞自2005年以來一直存在，盡管Google表示無法找到任何人的密碼訪問不當(dāng)?shù)淖C據(jù)。它正在重置可能受影響的任何密碼，并讓G Suite管理員了解該問題。

G Suite是Gmail和Google的其他應(yīng)用程序的企業(yè)版本，顯然這個產(chǎn)品中出現(xiàn)的錯誤是因?yàn)閷ｉT為公司設(shè)計的功能。在早期，G Suite應(yīng)用程序的公司管理員可以手動設(shè)置用戶密碼 - 例如，在新員工加入之前 - 如果他們這樣做，管理控制臺會以純文本形式存儲這些密碼而不是散列它們。此后，Google已從管理員中移除了該功能。

谷歌的帖子非常痛苦地解釋加密哈希是如何工作的，可能是為了確保圍繞這個錯誤的細(xì)微差別是明確的。盡管密碼以純文本形式存儲，但它們至少以純文本形式存儲在Google的服務(wù)器中，因此，如果它們只是在開放的互聯(lián)網(wǎng)上，它們就更難獲得。雖然Google沒有明確說明，但似乎還要確保人們不要將此錯誤歸咎于與其他明文密碼問題相同的類別，而這些密碼已被泄露出去。

呵呵，已經(jīng)有這么多的，因?yàn)橛芯€筆記。由于違規(guī)行為， Twitter建議所有3.3億用戶在3月份更改密碼。Facebook 以純文本形式存儲了 “數(shù)億”密碼，其中多達(dá)20,000名員工可以訪問這些密碼。Instagram不得不說，F(xiàn)acebook的漏洞實(shí)際上已經(jīng)影響了數(shù)百萬的Instagram用戶(而不是之前披露的較小數(shù)字)。

就其本身而言，谷歌沒有說明有多少用戶可能受到這個錯誤的影響，除了說它影響了“我們的企業(yè)G Suite客戶的一部分” - 可能是2005年使用G Suite的任何人。盡管Google無法做到找到任何人惡意使用此訪問權(quán)限的證據(jù)，并不完全清楚誰也可以訪問這些純文本文件。

在任何情況下，它現(xiàn)在已經(jīng)修復(fù)，Google在其關(guān)于整個問題的帖子中表示相應(yīng)的抱歉：

我們非常重視企業(yè)客戶的安全，并為推進(jìn)行業(yè)最佳的帳戶安全實(shí)踐而感到自豪。在這里，我們沒有達(dá)到我們自己的標(biāo)準(zhǔn)，也沒有達(dá)到我們客戶的標(biāo)準(zhǔn)。我們向用戶道歉，并會做得更好。