【烽巢網】

在今天的一篇博客文章中，谷歌透露，它最近發現了一個漏洞，導致部分G Suite用戶的密碼以純文本形式存儲。該漏洞自2005年以來一直存在，不過谷歌說，它找不到任何證據表明任何人的密碼被不當訪問。它正在重置任何可能受到影響的密碼，并讓G Suite管理員知道這個問題。

G Suite是Gmail和谷歌的其他應用程序的企業版，很明顯，這個bug出現在這個產品中是因為它有一個專門為企業設計的功能。在早期，G Suite應用程序的公司管理員可以手動設置用戶密碼(比如，在新員工加入之前)，如果他們這樣做了，管理控制臺將以純文本形式存儲這些密碼，而不是散列它們。此后，谷歌從管理員那里刪除了該功能。

谷歌的文章煞費苦心地解釋了密碼散列的工作原理，可能是為了確保圍繞這個bug的細微差別是清楚的。雖然密碼是以純文本形式存儲的，但它們至少是以純文本形式存儲在谷歌的服務器中，因此要訪問它們比在開放的internet上訪問更困難。雖然谷歌沒有明確說明，但它似乎也想確保人們不會把這個bug與其他密碼泄露的純文本密碼問題歸為一類。

而且，正如《連線》雜志所言，這樣的例子太多了。今年3月，Twitter建議所有3.3億用戶修改密碼。Facebook以純文本形式存儲了“數億”個密碼，其多達2萬名員工可以訪問這些密碼。Instagram不得不承認，Facebook的入侵實際上影響了數以百萬計的Instagram用戶(而不是此前披露的較小數量)。

就其本身而言，谷歌并沒有說明有多少用戶可能受到這個bug的影響，只是說它影響了“我們企業G Suite客戶的一個子集”——大概是2005年使用G Suite的任何人。雖然谷歌沒有找到任何人惡意使用這種訪問的證據，但也不完全清楚誰會訪問這些純文本文件。

無論如何，它現在是固定的，谷歌在其帖子中對整個問題表示歉意:

我們非常重視企業客戶的安全，并為自己在客戶安全方面推進行業最佳實踐而自豪。在這里，我們沒有達到我們自己的標準，也沒有達到我們客戶的標準。我們向用戶道歉，我們會做得更好。