安全漏洞已经潜伏了14年。您的Google帐户仍然可以吗?
发布者:tangkuikui 发布时间:2019/5/23 点击数:5514
谷歌在一篇博客中透露,该公司最近发现了一个自2005年以来一直存在的安全漏洞。该漏洞导致一些G Suite企业用户的密码以明文形式存储。
目前尚不清楚有多少商业用户受到影响,但谷歌明确表示没有证据表明用户的密码是非法访问的。此外,Google正在积极采取补救措施,例如通知G Suite管理员,或重置可能受影响的帐户的密码。
发现了“隐藏”14年的漏洞
安全漏洞已经潜伏了14年。您的Google帐户仍然可以吗?
G Suite是一个办公套件,结合了Gmail,Google云端硬盘和Google文档等应用。谷歌在2月份透露,全球有500万家企业订购了这项服务,其中包括60%的财富500强企业。
造成此漏洞的原因正是因为Google为企业设计的功能。
2005年,为了方便会员账户的管理,特别是帮助新员工加入,公司的G Suite管理员可以手动上传,设置和恢复会员密码。但是,这种方法存在缺陷,因为它将密码以明文形式存储到管理控制台,而不是存储到Google服务器。
因此,用户的密码存在风险。随后,Google删除了此功能。
谷歌工程副总裁Suzanne Frey说:
我们应该清楚这一点,虽然这些密码不是哈希加密的,但它们仍保留在Google安全加密的基础架构中。此问题现已得到解决,并且没有明确证据表明这些密码被错误地访问或滥用。此外,这些明文密码存储在Google服务器上,并且比开放互联网上存储的密码更难以访问。
安全漏洞已经潜伏了14年。您的Google帐户仍然可以吗?
谷歌的官方声明也占用了大量空间来解释加密存储的散列效果,并且他们似乎并不希望人们将此漏洞与其他密码泄漏分类。但是,人们仍然担心这种情况。 TrustedSec首席执行官David Kennedy说:
谷歌在这方面一直享有良好的声誉。但是,这个安全漏洞已经被发现了14年,并且不可避免地令人不安。
新的漏洞“困扰”近半年
安全漏洞已经潜伏了14年。您的Google帐户仍然可以吗?
图片由Angel Garcia/Bloomberg/Getty Images提供
雷锋网获悉,本月早些时候,谷歌在对新的G Suite用户注册流程进行故障排除时发现了另一个明文密码漏洞。
自今年1月份以来,在新的G Suite用户注册后,Google的内部系统会自动存储用户的明文密码。这些未加密的密码最多可保留14天,但系统仅向有限数量的授权员工开放。
目前,已存在近半年的这一新漏洞也已得到修复,并且没有证据表明该数据已被恶意访问。
Suzanne Frey在博客中写道:
除密码外,我们的身份验证系统还具有多层自动防御系统,可防止恶意访问者即使知道密码也能登录。此外,我们为G2管理员提供两步验证(2SV)选项,其中包括我们自己的员工帐户所依赖的安全密钥。
安全漏洞已经潜伏了14年。您的Google帐户仍然可以吗?
雷锋注意:2VS是两步验证。最常见的表达形式是通过电子邮件/移动验证码进行双重验证。
在博客结束时,Suzanne Frey也表达了Google对此事件的道歉,其中写道:
我们重视业务用户的安全性,并为我们的用户安全实践感到自豪。但是,这次我们没有达到我们自己的标准而且没有达到用户的期望。我们为此道歉并将在未来努力做得更好。
许多公司也存在类似的安全漏洞
雷锋网获悉,除了谷歌,Facebook,Instagram,Twitter和GitHub都有类似的安全漏洞。
今年3月,Facebook表示“数亿”Facebook用户的密码以明文形式存储,多达20,000名Facebook员工可以访问这些密码; Twitter还建议今年3月共有3.3亿Twitter用户更改密码。但是,两家公司都认为不需要自动重置用户密码。TrustedSec首席执行官David Kennedy说:
这些公司的漏洞导致内部明文密码泄露,但即使在公司内部,它也会带来严重的隐私和安全风险。
发言人证实,谷歌已向数据保护监管机构通报此数据泄露事件;小心谨慎,Google还会通知密码有危险的G Suite管理员,如果他们是管理员,Google会帮助他们重置密码而不重置密码。
事件发生后谷歌主动通知了相关监管机构,并积极联系公司重置密码,这可以视为一种补救措施。
但是,谷歌14年来一直无法检测到这个漏洞,那么找到下一个漏洞需要多长时间?谁将为这些漏洞付费?
