谷歌自曝安全漏洞,部分 G Suite 用户密码以明文形式存储达 14 年
谷歌表示,一款 G Suite 工具中存在 bug,导致谷歌在2005年至2019年期间一直以加密但未哈希的形式存储客户密码。谷歌表示,只有 G Suite 企业客户受影响,普通的 Gmail 账户不受影响。
多数 G Suite 客户是注册了 企业版 Gmail、GoogleDocs、Google Suites、Google Drive和谷歌其它服务器的企业。
老旧 G Suite 工具 bug
谷歌表示,该 bug 出现在公司在21世纪初开发的一款老旧工具中,“这款工具(位于管理面板中)可允许管理员上传或手动为公司用户设置密码。这样做是为了帮助G Suite管理员管理新加入的用户,例如新员工可以在上班第一天收到账户信息,以及它有助于账户恢复。”
谷歌表示,在2005年实现该工具的密码设置功能时犯了一个错误。通过该工具设置的密码在没有通过谷歌标准密码哈希算法的情况下存储在磁盘中。这些密码在存储在磁盘时最终得以加密,也就是说谷歌员工或入侵者无法以明文形式看到或读取这些密码。谷歌表示在今年发现这个 bug,于是弃用了该工具并修正了问题。
谷歌强调称,“需要澄清一点,这些密码仍然保持在安全加密的基础设施中。这个问题已经修复,而且我们没有看到任何证据表明曾有人不当访问或滥用那些受到影响的密码。”
第二起以未哈希形式存储密码案例
但谷歌同时披露了另外一起安全事件,是员工“调试新的 G Suite 客户注册流时发现的。”谷歌表示,从2019年1月开始,G Suite 就在注册流程中以未哈希形式存储密码。和第一起安全事件一样,将密码保存在磁盘时最终进行了加密。
第二批未哈希密码仅存储了14天的时间,从而将 bug 的影响最小化。谷歌表示,只有数量有限、经过授权的谷歌员工能够访问那些系统,并未发现和第二个 bug 相关的密码滥用或不当访问情况。“这个问题也已经得到了解决,我们在这里也没有看到任何证据表明曾有人不当访问或滥用那些受到影响的密码。”
已通知 G Suite 管理员
谷歌表示,已经将事件告知 G Suite 管理员并告知需要重置通过老旧 G Suite 工具设置的用户密码。谷歌还表示,“出于谨慎考虑,我们将重置那些未主动重置的账户密码。”
在一般情况下,这种 bug 应当不会为受影响客户造成巨大的安全风险,因为攻击者必须首先攻陷谷歌的基础设施,在海量数据中心中定位密码,之后检索何时的加密密钥才能解密密码,之后才能使用。
谷歌G Suite的事故和最近 Facebook 爆出的丑闻不可相提并论。今年3月份,Facebook 承认以明文形式存储了数亿 Facebook 账户和数百万 Instagram 账户的密码。去年,Twitter和GitHub也通报了类似的安全漏洞。
封面图源:Alex Castro / The Verge
本文资讯内容来源于互联网,版权归作者所有,如有侵权,请留言告知,我们将尽快处理。
安全帮大讲堂经典回顾
关于安全帮
- 发表于:
- 原文链接:https://kuaibao.qq.com/s/20190523A05FER00?refer=cp_1026
- 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
- 如有侵权,请联系 cloudcommunity@tencent.com 删除。
相关快讯
扫码
添加站长 进交流群
领取专属 10元无门槛券
私享最新 技术干货
腾讯云开发者
