据美国科技媒体 The Verge 报道, 谷歌在博客文章里披露, 公司最近发现一个漏洞, 导致部分 G Suite 用户的密码以明文方式存储. 博文中称, 该漏洞自 2005 年以来就存在, 但谷歌未能找到任何证据表明, 任何人的密码被非法访问过. 公司正在重置可能受影响的密码, 并已告知各 G Suite 管理员.
G Suite 是 Gmail 和谷歌其它应用的企业版本. 显然, G Suite 中出现的这个漏洞源于专为企业涉及的功能. 一开始, 公司的 G Suite 应用管理员可以手动设置用户密码 -- 例如, 在新员工入职前 -- 如果管理员这样操作了, 管理控制台会以明文方式存储这些密码, 而非哈希加密存储, 之后, 谷歌便删除了这个管理员功能.
谷歌的帖子详细地解释了加密哈希的工作原理, 似在为了分清楚与这一漏洞有关的细微差别. 虽然密码是以明文方式存储, 但它们至少是明文存储在谷歌的 服务器 上, 因此比起存储在开放互联网上, 这些明文密码还是比较难访问的. 虽然谷歌并未明确说明, 但谷歌似乎也在努力让人们相信, 这次的漏洞与其他遭到泄露的明文密码问题不一样.
另外, 谷歌并未说明具体有多少用户受到这一漏洞的影响, 只是表示该漏洞影响了 "我们部分的企业 G Suite 用户"-- 估计是 2005 年时使用 G Suite 的那些人. 尽管谷歌也没有发现任何人恶意使用这一访问权限的证据, 但我们也无法清楚地知道究竟谁访问过这些明文密码.
目前这个漏洞已经修复, 同时谷歌在博文最后表达了歉意.
活动入口:
Coding 敏捷研发 - 研发产出提升 20% 5 人以下小团队免费
走进 Verisign - 互联网根服务器的管理者 /.com 的守护者
来源: http://www.tuicool.com/articles/YJRjumY