安全漏洞潛伏十四年,你的 Google 賬號還好嗎?

北京新浪網 05-23 08:04

雷鋒網(公眾號:雷鋒網)消息,5 月 22 日,Google 在博客中透露,公司最近發現了自 2005 年起就存在的安全漏洞,漏洞導致部分 G Suite 企業用戶的密碼以明文形式儲存。

目前尚不清楚有多少企業用戶受到了影響,但 Google 明確表示,暫無證據表明用戶的密碼被非法訪問過。此外,Google 也在積極地採取補救措施,比如通知相關企業的 G Suite 管理員,或重置可能受到影響的賬戶密碼。

「隱秘」了十四年的漏洞被發現

G Suite 是由 Gmail、Google 雲盤、Google 文檔等應用程序組合而成的一個辦公套件,Google 在今年 2 月份透露,全球共有 500 萬個組織訂閱了該服務,其中包括 60% 的財富 500 強公司。

而該漏洞之所以出現,恰恰是因為 Google 專為企業設計的功能。

2005 年,為了方便企業管理成員的賬號,尤其是幫助新員工入職,企業的 G Suite 管理員能夠手動上傳、設置和恢復成員的密碼。然而,這種方式存在缺陷,因為它會將密碼以明文的形式儲存到管理控制台,而非通過哈希加密儲存到 Google 伺服器。

這樣一來,用戶的密碼就處在了風險之中。隨後,Google 刪除了這一功能。

Google 工程部副總裁 Suzanne Frey 說道:

我們應該明確這一點,雖然這些密碼沒有經過哈希加密儲存,但它們仍保留 Google 經過安全加密的基礎設施中。現在,這個問題已得到解決,而且也沒有明確證據表明這些密碼遭到了不當訪問或濫用。另外,這些明文密碼一直存儲在 Google 伺服器里,比存儲到開放互聯網上的密碼更難訪問。

Google 的官方聲明中還花了大量篇幅來解釋哈希加密存儲的工作原理,他們似乎不希望人們把這個漏洞與其他密碼泄露問題歸為一類。

不過,人們還是對這一情況感到擔憂。TrustedSec 公司的 CEO David Kennedy 說道:

Google 在這方面一直擁有良好的聲譽,然而,這個安全漏洞存在了十四年之久至今才被發現,這難免會讓人感到不安。

新漏洞「潛伏」了近半年之久

雷鋒網獲悉,本月早些時候,Google 在對 G Suite 新用戶註冊流程進行故障排除時,發現了另一個明文密碼漏洞。

自今年 1 月起,在 G Suite 新用戶完成註冊之後,Google 內部系統會自動地存儲用戶的明文密碼,這些未加密的密碼最多保存了 14 天,不過該系統只對數量有限的授權員工開放。

目前,這個存在了近半年的新漏洞也得到了修復,而且,同樣沒有證據表明這些數據遭到了惡意訪問。

Suzanne Frey 在博客中寫道:

除了密碼之外,我們的身份驗證系統還具有多層自動防禦系統,即使惡意訪問者知道密碼,系統也會阻止它登錄。此外,我們還為 G Suite 管理員提供了 「兩步驗證」(2SV)選項,包括安全密鑰,我們自己的員工帳戶就依賴於這些密鑰。

2VS 即 2-step verification,最常見的表現形式為通過郵箱/手機驗證碼進行雙重驗證

在博客的最後,Suzanne Frey 還表達了 Google 對此次事件的歉意,文中寫道:

我們非常重視企業用戶的安全,併為自己在用戶安全方面的實踐而自豪。不過,這一次我們沒有達到自己的標準,也沒有達到用戶對我們的期望。我們在此表示歉意,以後會努力做到更好。

多家企業存在類似安全漏洞

雷鋒網獲悉,除了 Google,Facebook、Instagram、Twitter 和 GitHub 都曾存在類似的安全漏洞。

今年 3 月,Facebook 表示,「數億」Facebook 用戶的密碼以明文形式存儲,多達 2 萬名 Facebook 員工可以訪問這些密碼;Twitter 也在今年3月建議總數為 3.3 億的 Twitter 用戶修改自己的密碼。不過,這兩家公司都認為沒有必要自動重置用戶密碼。

TrustedSec 公司的 CEO David Kennedy 說道:

這些公司的漏洞導致明文密碼在內部公開,然而,即使是在公司內部,它也會帶來嚴重的隱私和安全隱患。

一位發言人證實,Google 已將本次的漏洞事件向數據保護監管機構進行了通報;出於極大的謹慎,Google 還將通知那些密碼處在威脅之中的 G Suite 管理員,如果管理員沒有重置密碼,Google 則會幫助他們重置。

Google 在事後主動向相關的監管機構通報,並積極聯繫企業重置密碼,也算是亡羊補牢了。

不過,Google 在長達十四年的時間里都未能發現這個安全漏洞,那麼發現下一個漏洞要花多長時間呢?誰又會為這些漏洞買單呢?

分享至FB
分享至微博
LINE it!
轉發mail
更多分享方式

即時新聞

臉書評論