Google 日前在博客中披露,其最近发现一个漏洞:部分 G Suite 用户的密码以明文方式存储。该漏洞自 2005 年以来就一直存在,尽管 Google 表示无法找到任何人的密码被非法访问的证据。该公司正在重置可能受影响的密码,并已告知各 G Suite 管理员。
G Suite 是 Gmail 和 Google 的其他应用程序的企业版本,显然这个产品中出现的漏洞源于专为企业设计的功能。起初,G Suite 应用管理员可以手动设置用户密码(比如在新员工入职前),如果管理员这样操作,管理控制台会以明文方式存储这些密码,而非哈希加密存储,之后,Google 便删除了这个功能。
Google 在文章中详细解释了加密哈希的工作原理,可能是为了分清与这一漏洞有关的细微差别。尽管密码以明文方式存储,但它们至少存储在 Google 的服务器中,因此相比存储在开放的互联网上,这些密码还是比较难访问的。虽然 Google 没有明确说明,但其似乎也在努力确保让人们相信,此次漏洞与其他遭到泄露的明文密码事件是不同的。
Google 并没有说明有多少用户可能受到这个漏洞的影响,只是表示漏洞影响了“我们的部分企业 G Suite 客户”——也就是说可能是 2005 年时使用 G Suite 的任何人。
目前这个漏洞已经被修复,Google 同时也表达了歉意。
题图:豆腐/动点科技