安全漏洞潛伏十四年,你的 Google 賬號還好嗎?
5 月 22 日,Google 在博客中透露,公司最近發(fā)現(xiàn)了自 2005 年起就存在的安全漏洞,漏洞導(dǎo)致部分 G Suite 企業(yè)用戶的密碼以明文形式儲存。
目前尚不清楚有多少企業(yè)用戶受到了影響,但 Google 明確表示,暫無證據(jù)表明用戶的密碼被非法訪問過。此外,Google 也在積極地采取補救措施,比如通知相關(guān)企業(yè)的 G Suite 管理員,或重置可能受到影響的賬戶密碼。
“隱秘”了十四年的漏洞被發(fā)現(xiàn)
G Suite 是由 Gmail、Google 云盤、Google 文檔等應(yīng)用程序組合而成的一個辦公套件,Google 在今年 2 月份透露,全球共有 500 萬個組織訂閱了該服務(wù),其中包括 60% 的財富 500 強公司。
而該漏洞之所以出現(xiàn),恰恰是因為 Google 專為企業(yè)設(shè)計的功能。
2005 年,為了方便企業(yè)管理成員的賬號,尤其是幫助新員工入職,企業(yè)的 G Suite 管理員能夠手動上傳、設(shè)置和恢復(fù)成員的密碼。然而,這種方式存在缺陷,因為它會將密碼以明文的形式儲存到管理控制臺,而非通過哈希加密儲存到 Google 服務(wù)器。
這樣一來,用戶的密碼就處在了風(fēng)險之中。隨后,Google 刪除了這一功能。
Google 工程部副總裁 Suzanne Frey 說道:
- 我們應(yīng)該明確這一點,雖然這些密碼沒有經(jīng)過哈希加密儲存,但它們?nèi)员A?Google 經(jīng)過安全加密的基礎(chǔ)設(shè)施中。現(xiàn)在,這個問題已得到解決,而且也沒有明確證據(jù)表明這些密碼遭到了不當(dāng)訪問或濫用。另外,這些明文密碼一直存儲在 Google 服務(wù)器里,比存儲到開放互聯(lián)網(wǎng)上的密碼更難訪問。
Google 的官方聲明中還花了大量篇幅來解釋哈希加密存儲的工作原理,他們似乎不希望人們把這個漏洞與其他密碼泄露問題歸為一類。
不過,人們還是對這一情況感到擔(dān)憂。TrustedSec 公司的 CEO David Kennedy 說道:
Google 在這方面一直擁有良好的聲譽,然而,這個安全漏洞存在了十四年之久至今才被發(fā)現(xiàn),這難免會讓人感到不安。
新漏洞“潛伏”了近半年之久
圖片來自:Angel Garcia / Bloomberg / Getty Images
雷鋒網(wǎng)獲悉,本月早些時候,Google 在對 G Suite 新用戶注冊流程進行故障排除時,發(fā)現(xiàn)了另一個明文密碼漏洞。
自今年 1 月起,在 G Suite 新用戶完成注冊之后,Google 內(nèi)部系統(tǒng)會自動地存儲用戶的明文密碼,這些未加密的密碼最多保存了 14 天,不過該系統(tǒng)只對數(shù)量有限的授權(quán)員工開放。
目前,這個存在了近半年的新漏洞也得到了修復(fù),而且,同樣沒有證據(jù)表明這些數(shù)據(jù)遭到了惡意訪問。
Suzanne Frey 在博客中寫道:
除了密碼之外,我們的身份驗證系統(tǒng)還具有多層自動防御系統(tǒng),即使惡意訪問者知道密碼,系統(tǒng)也會阻止它登錄。此外,我們還為 G Suite 管理員提供了 “兩步驗證”(2SV)選項,包括安全密鑰,我們自己的員工帳戶就依賴于這些密鑰。
雷鋒網(wǎng)注:2VS 即 2-step verification,最常見的表現(xiàn)形式為通過郵箱/手機驗證碼進行雙重驗證
在博客的最后,Suzanne Frey 還表達了 Google 對此次事件的歉意,文中寫道:
我們非常重視企業(yè)用戶的安全,并為自己在用戶安全方面的實踐而自豪。不過,這一次我們沒有達到自己的標(biāo)準(zhǔn),也沒有達到用戶對我們的期望。我們在此表示歉意,以后會努力做到更好。
多家企業(yè)存在類似安全漏洞
雷鋒網(wǎng)獲悉,除了 Google,F(xiàn)acebook、Instagram、Twitter 和 GitHub 都曾存在類似的安全漏洞。
今年 3 月,F(xiàn)acebook 表示,“數(shù)億”Facebook 用戶的密碼以明文形式存儲,多達 2 萬名 Facebook 員工可以訪問這些密碼;Twitter 也在今年3月建議總數(shù)為 3.3 億的 Twitter 用戶修改自己的密碼。不過,這兩家公司都認(rèn)為沒有必要自動重置用戶密碼。
TrustedSec 公司的 CEO David Kennedy 說道:
這些公司的漏洞導(dǎo)致明文密碼在內(nèi)部公開,然而,即使是在公司內(nèi)部,它也會帶來嚴(yán)重的隱私和安全隱患。
一位發(fā)言人證實,Google 已將本次的漏洞事件向數(shù)據(jù)保護監(jiān)管機構(gòu)進行了通報;出于極大的謹(jǐn)慎,Google 還將通知那些密碼處在威脅之中的 G Suite 管理員,如果管理員沒有重置密碼,Google 則會幫助他們重置。
Google 在事后主動向相關(guān)的監(jiān)管機構(gòu)通報,并積極聯(lián)系企業(yè)重置密碼,也算是亡羊補牢了。
不過,Google 在長達十四年的時間里都未能發(fā)現(xiàn)這個安全漏洞,那么發(fā)現(xiàn)下一個漏洞要花多長時間呢?誰又會為這些漏洞買單呢?
本文轉(zhuǎn)自雷鋒網(wǎng),如需轉(zhuǎn)載請至雷鋒網(wǎng)官網(wǎng)申請授權(quán)。
