【烽巢網(wǎng)】

在今天的一篇博客文章中，谷歌透露，它最近發(fā)現(xiàn)了一個漏洞，導(dǎo)致部分G Suite用戶的密碼以純文本形式存儲。該漏洞自2005年以來一直存在，不過谷歌說，它找不到任何證據(jù)表明任何人的密碼被不當(dāng)訪問。它正在重置任何可能受到影響的密碼，并讓G Suite管理員知道這個問題。

G Suite是Gmail和谷歌的其他應(yīng)用程序的企業(yè)版，很明顯，這個bug出現(xiàn)在這個產(chǎn)品中是因為它有一個專門為企業(yè)設(shè)計的功能。在早期，G Suite應(yīng)用程序的公司管理員可以手動設(shè)置用戶密碼(比如，在新員工加入之前)，如果他們這樣做了，管理控制臺將以純文本形式存儲這些密碼，而不是散列它們。此后，谷歌從管理員那里刪除了該功能。

谷歌的文章煞費苦心地解釋了密碼散列的工作原理，可能是為了確保圍繞這個bug的細(xì)微差別是清楚的。雖然密碼是以純文本形式存儲的，但它們至少是以純文本形式存儲在谷歌的服務(wù)器中，因此要訪問它們比在開放的internet上訪問更困難。雖然谷歌沒有明確說明，但它似乎也想確保人們不會把這個bug與其他密碼泄露的純文本密碼問題歸為一類。

而且，正如《連線》雜志所言，這樣的例子太多了。今年3月，Twitter建議所有3.3億用戶修改密碼。Facebook以純文本形式存儲了“數(shù)億”個密碼，其多達(dá)2萬名員工可以訪問這些密碼。Instagram不得不承認(rèn)，F(xiàn)acebook的入侵實際上影響了數(shù)以百萬計的Instagram用戶(而不是此前披露的較小數(shù)量)。

就其本身而言，谷歌并沒有說明有多少用戶可能受到這個bug的影響，只是說它影響了“我們企業(yè)G Suite客戶的一個子集”——大概是2005年使用G Suite的任何人。雖然谷歌沒有找到任何人惡意使用這種訪問的證據(jù)，但也不完全清楚誰會訪問這些純文本文件。

無論如何，它現(xiàn)在是固定的，谷歌在其帖子中對整個問題表示歉意:

我們非常重視企業(yè)客戶的安全，并為自己在客戶安全方面推進(jìn)行業(yè)最佳實踐而自豪。在這里，我們沒有達(dá)到我們自己的標(biāo)準(zhǔn)，也沒有達(dá)到我們客戶的標(biāo)準(zhǔn)。我們向用戶道歉，我們會做得更好。