雷鋒網(wǎng)5月22日消息，據(jù)The Verge報道谷歌在今天的博客文章中披露了一個G Suite漏洞。該漏洞會導致部分G Suite用戶以純文本形式存儲密碼。

該漏洞自2005年以來一直存在，不過谷歌表示，他們沒有發(fā)現(xiàn)任何用戶密碼遭到濫用的證據(jù)。目前，谷歌已經(jīng)重設所有可能受到影響的用戶密碼，并且告知G Suite管理員以減輕該問題造成的負面影響。

G Suite是谷歌推出的Gmail和Google的其他應用程序的企業(yè)版本，而此次漏洞的出現(xiàn)正是因為專門為公司設計的這一功能——在早期，G Suite應用程序的公司管理員可以手動設置用戶密碼。例如，在新員工加入之前，管理者可以通過控制臺輸入密碼，這會讓密碼最終以純文本形式輸入并存儲而不是采用數(shù)據(jù)（或其他更安全）的形式來保存。

現(xiàn)在，Google已經(jīng)從管理員操作項中移除了該功能。

谷歌在博文中強調(diào)，雖然密碼是存儲在純文本里，但至少檔案還是留在谷歌的服務器當中。The Verge稱，這也許說明谷歌希望確保人們不把這項漏洞與其他科技公司發(fā)生的信息泄漏事件歸為同類，谷歌認為后者已經(jīng)造成了隱私信息泄露的問題。

The Verge稱，這樣的例子實在太多了。

今年三月，Twitter建議所有3.3億用戶修改密碼。這是因為Facebook以純文本形式存儲了“數(shù)億”個密碼，其多達2萬名員工可以訪問這些密碼。Instagram不得不承認，F(xiàn)acebook的此次信息泄露實際上影響了數(shù)以百萬計的Instagram用戶(而不是此前披露的較小數(shù)量)。

就其本身而言，谷歌沒有明確說明有多少用戶可能受到這個漏洞的影響，谷歌在博文中只是寫道：“它影響了我們的企業(yè)G Suite客戶中的一部分用戶”————大概是2005年起使用G Suite的所有人吧，The Verge補充道。

雖然谷歌沒有找到任何惡意使用這種訪問方式的證據(jù)，但也不完全清楚誰會訪問（或者訪問過）這些純文本文件。當然，無法辯駁的是這個漏洞的確存在，因此谷歌在博文中致歉G Suite用戶：

我們非常重視企業(yè)客戶的安全，并為自己在客戶安全方面推進行業(yè)最佳實踐而自豪。在這里，我們沒有達到我們自己的標準，也沒有達到我們客戶的標準。我們向用戶道歉，我們會做得更好。

參考來源：The Verge

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權禁止轉載。詳情見轉載須知。