【烽巢網(wǎng)】

在今天的一篇博客文章中，谷歌透露，它最近發(fā)現(xiàn)了一個(gè)漏洞，導(dǎo)致部分G Suite用戶(hù)的密碼以純文本形式存儲(chǔ)。該漏洞自2005年以來(lái)一直存在，不過(guò)谷歌說(shuō)，它找不到任何證據(jù)表明任何人的密碼被不當(dāng)訪(fǎng)問(wèn)。它正在重置任何可能受到影響的密碼，并讓G Suite管理員知道這個(gè)問(wèn)題。

G Suite是Gmail和谷歌的其他應(yīng)用程序的企業(yè)版，很明顯，這個(gè)bug出現(xiàn)在這個(gè)產(chǎn)品中是因?yàn)樗幸粋€(gè)專(zhuān)門(mén)為企業(yè)設(shè)計(jì)的功能。在早期，G Suite應(yīng)用程序的公司管理員可以手動(dòng)設(shè)置用戶(hù)密碼(比如，在新員工加入之前)，如果他們這樣做了，管理控制臺(tái)將以純文本形式存儲(chǔ)這些密碼，而不是散列它們。此后，谷歌從管理員那里刪除了該功能。

谷歌的文章煞費(fèi)苦心地解釋了密碼散列的工作原理，可能是為了確保圍繞這個(gè)bug的細(xì)微差別是清楚的。雖然密碼是以純文本形式存儲(chǔ)的，但它們至少是以純文本形式存儲(chǔ)在谷歌的服務(wù)器中，因此要訪(fǎng)問(wèn)它們比在開(kāi)放的internet上訪(fǎng)問(wèn)更困難。雖然谷歌沒(méi)有明確說(shuō)明，但它似乎也想確保人們不會(huì)把這個(gè)bug與其他密碼泄露的純文本密碼問(wèn)題歸為一類(lèi)。

而且，正如《連線(xiàn)》雜志所言，這樣的例子太多了。今年3月，Twitter建議所有3.3億用戶(hù)修改密碼。Facebook以純文本形式存儲(chǔ)了“數(shù)億”個(gè)密碼，其多達(dá)2萬(wàn)名員工可以訪(fǎng)問(wèn)這些密碼。Instagram不得不承認(rèn)，F(xiàn)acebook的入侵實(shí)際上影響了數(shù)以百萬(wàn)計(jì)的Instagram用戶(hù)(而不是此前披露的較小數(shù)量)。

就其本身而言，谷歌并沒(méi)有說(shuō)明有多少用戶(hù)可能受到這個(gè)bug的影響，只是說(shuō)它影響了“我們企業(yè)G Suite客戶(hù)的一個(gè)子集”——大概是2005年使用G Suite的任何人。雖然谷歌沒(méi)有找到任何人惡意使用這種訪(fǎng)問(wèn)的證據(jù)，但也不完全清楚誰(shuí)會(huì)訪(fǎng)問(wèn)這些純文本文件。

無(wú)論如何，它現(xiàn)在是固定的，谷歌在其帖子中對(duì)整個(gè)問(wèn)題表示歉意:

我們非常重視企業(yè)客戶(hù)的安全，并為自己在客戶(hù)安全方面推進(jìn)行業(yè)最佳實(shí)踐而自豪。在這里，我們沒(méi)有達(dá)到我們自己的標(biāo)準(zhǔn)，也沒(méi)有達(dá)到我們客戶(hù)的標(biāo)準(zhǔn)。我們向用戶(hù)道歉，我們會(huì)做得更好。