G Suite用户密码以纯文本格式存储超过14年

华盟学院山东省第二期线下学习计划

Google意外地将其G Suite用户的密码以纯文本形式存储了14年,允许其员工访问它们。

这个消息令人不安,谷歌不小心将G Suite用户的密码以明文形式存储了14年,这意味着公司的每位员工都能够访问它们。

据该技术巨头称,该事件是由密码恢复机制中的一个错误引起的,只有业务用户受到影响。

“但是,我们最近通知了我们企业G Suite客户的一部分,一些密码存储在我们加密的内部系统中。” 该公司发布的博客文章中写道。“这是一个仅影响业务用户的G Suite问题 - 没有免费的Google消费者帐户受到影响 - 我们正在与企业管理员合作,以确保其用户重置密码。“

G Suite(又名Google Apps)包括云计算,生产力和协作工具,它被业务用户广泛采用,Google已经通过从G Suite管理员中删除功能解决了这个问题。

该错误存在于G Suite客户的密码恢复机制中,允许企业管理员在不知道其先前密码的情况下为其域的任何用户上载或手动设置密码。该过程可用于为新员工和帐户恢复设置密码。

谷歌承认,如果管理员重置密码,管理控制台会将密码以明文形式存储在谷歌服务器上。

谷歌调查了这个问题,并确认没有证据表明不正当访问或滥用受影响的G Suite凭据。

“我们在2005年实现这一功能时犯了一个错误:管理控制台存储了一份副本 非散列密码。这种做法不符合我们的标准。为了清楚起见,这些密码保留在我们的安全加密基础设施中。“继续谷歌。“这个问题已得到解决,我们没有看到任何不当访问或滥用受影响密码的证据。”

谷歌试图向用户保证,即使密码以明文密码存储,它们也存储在开放式互联网无法访问的内部安全加密服务器上。

当时谷歌没有透露有多少用户可能受到影响,但我们现在必须考虑,G Suite有500万企业客户可能面临风险。

该公司通过该事件通知受影响的业务用户,并要求他们重置密码,它还宣布将自动为不更改密码的用户重置密码。
谷歌不是唯一一个意外地在其内部服务器上存储纯文本密码的技术巨头。最近,Facebook 发布了类似的事件,影响了其用户和Instagram用户。

www.idc126.com

在2018年,Twitter 在内部系统上以纯文本显示错误后,要求超过3.3亿用户更改密码。