雷鋒網(wǎng)5月22日消息，據(jù)The Verge報(bào)道谷歌在今天的博客文章中披露了一個(gè)G Suite漏洞。該漏洞會(huì)導(dǎo)致部分G Suite用戶以純文本形式存儲(chǔ)密碼。

該漏洞自2005年以來一直存在，不過谷歌表示，他們沒有發(fā)現(xiàn)任何用戶密碼遭到濫用的證據(jù)。目前，谷歌已經(jīng)重設(shè)所有可能受到影響的用戶密碼，并且告知G Suite管理員以減輕該問題造成的負(fù)面影響。

G Suite是谷歌推出的Gmail和Google的其他應(yīng)用程序的企業(yè)版本，而此次漏洞的出現(xiàn)正是因?yàn)閷ｉT為公司設(shè)計(jì)的這一功能——在早期，G Suite應(yīng)用程序的公司管理員可以手動(dòng)設(shè)置用戶密碼。例如，在新員工加入之前，管理者可以通過控制臺(tái)輸入密碼，這會(huì)讓密碼最終以純文本形式輸入并存儲(chǔ)而不是采用數(shù)據(jù)（或其他更安全）的形式來保存。

現(xiàn)在，Google已經(jīng)從管理員操作項(xiàng)中移除了該功能。

谷歌在博文中強(qiáng)調(diào)，雖然密碼是存儲(chǔ)在純文本里，但至少檔案還是留在谷歌的服務(wù)器當(dāng)中。The Verge稱，這也許說明谷歌希望確保人們不把這項(xiàng)漏洞與其他科技公司發(fā)生的信息泄漏事件歸為同類，谷歌認(rèn)為后者已經(jīng)造成了隱私信息泄露的問題。

The Verge稱，這樣的例子實(shí)在太多了。

今年三月，Twitter建議所有3.3億用戶修改密碼。這是因?yàn)镕acebook以純文本形式存儲(chǔ)了“數(shù)億”個(gè)密碼，其多達(dá)2萬名員工可以訪問這些密碼。Instagram不得不承認(rèn)，F(xiàn)acebook的此次信息泄露實(shí)際上影響了數(shù)以百萬計(jì)的Instagram用戶(而不是此前披露的較小數(shù)量)。

就其本身而言，谷歌沒有明確說明有多少用戶可能受到這個(gè)漏洞的影響，谷歌在博文中只是寫道：“它影響了我們的企業(yè)G Suite客戶中的一部分用戶”————大概是2005年起使用G Suite的所有人吧，The Verge補(bǔ)充道。

雖然谷歌沒有找到任何惡意使用這種訪問方式的證據(jù)，但也不完全清楚誰會(huì)訪問（或者訪問過）這些純文本文件。當(dāng)然，無法辯駁的是這個(gè)漏洞的確存在，因此谷歌在博文中致歉G Suite用戶：

我們非常重視企業(yè)客戶的安全，并為自己在客戶安全方面推進(jìn)行業(yè)最佳實(shí)踐而自豪。在這里，我們沒有達(dá)到我們自己的標(biāo)準(zhǔn)，也沒有達(dá)到我們客戶的標(biāo)準(zhǔn)。我們向用戶道歉，我們會(huì)做得更好。

參考來源：The Verge

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。