安全漏洞潛伏十四年，你的 Google 賬號還好嗎？

雷鋒網消息，5 月 22 日，Google 在博客中透露，公司最近發現了自 2005 年起就存在的安全漏洞，漏洞導致部分 G Suite 企業用戶的密碼以明文形式儲存。

目前尚不清楚有多少企業用戶受到了影響，但 Google 明確表示，暫無證據表明用戶的密碼被非法訪問過。此外，Google 也在積極地採取補救措施，比如通知相關企業的 G Suite 管理員，或重置可能受到影響的賬戶密碼。

“隱祕”了十四年的漏洞被發現

G Suite 是由 Gmail、Google 雲盤、Google 文檔等應用程序組合而成的一個辦公套件，Google 在今年 2 月份透露，全球共有 500 萬個組織訂閱了該服務，其中包括 60% 的財富 500 強公司。

而該漏洞之所以出現，恰恰是因為 Google 專為企業設計的功能。

2005 年，為了方便企業管理成員的賬號，尤其是幫助新員工入職，企業的 G Suite 管理員能夠手動上傳、設置和恢復成員的密碼。然而，這種方式存在缺陷，因為它會將密碼以明文的形式儲存到管理控制檯，而非通過哈希加密儲存到 Google 服務器。

這樣一來，用戶的密碼就處在了風險之中。隨後，Google 刪除了這一功能。

Google 工程部副總裁 Suzanne Frey 說道：

我們應該明確這一點，雖然這些密碼沒有經過哈希加密儲存，但它們仍保留 Google 經過安全加密的基礎設施中。現在，這個問題已得到解決，而且也沒有明確證據表明這些密碼遭到了不當訪問或濫用。另外，這些明文密碼一直存儲在 Google 服務器裡，比存儲到開放互聯網上的密碼更難訪問。

Google 的官方聲明中還花了大量篇幅來解釋哈希加密存儲的工作原理，他們似乎不希望人們把這個漏洞與其他密碼洩露問題歸為一類。

不過，人們還是對這一情況感到擔憂。TrustedSec 公司的 CEO David Kennedy 說道：

Google 在這方面一直擁有良好的聲譽，然而，這個安全漏洞存在了十四年之久至今才被發現，這難免會讓人感到不安。

新漏洞“潛伏”了近半年之久

圖片來自：Angel Garcia / Bloomberg / Getty Images

雷鋒網獲悉，本月早些時候，Google 在對 G Suite 新用戶註冊流程進行故障排除時，發現了另一個明文密碼漏洞。

自今年 1 月起，在 G Suite 新用戶完成註冊之後，Google 內部系統會自動地存儲用戶的明文密碼，這些未加密的密碼最多保存了 14 天，不過該系統只對數量有限的授權員工開放。

目前，這個存在了近半年的新漏洞也得到了修復，而且，同樣沒有證據表明這些數據遭到了惡意訪問。

Suzanne Frey 在博客中寫道：

除了密碼之外，我們的身份驗證系統還具有多層自動防禦系統，即使惡意訪問者知道密碼，系統也會阻止它登錄。此外，我們還為 G Suite 管理員提供了 “兩步驗證”（2SV）選項，包括安全密鑰，我們自己的員工帳戶就依賴於這些密鑰。

雷鋒網注：2VS 即 2-step verification，最常見的表現形式為通過郵箱/手機驗證碼進行雙重驗證

在博客的最後，Suzanne Frey 還表達了 Google 對此次事件的歉意，文中寫道：

我們非常重視企業用戶的安全，併為自己在用戶安全方面的實踐而自豪。不過，這一次我們沒有達到自己的標準，也沒有達到用戶對我們的期望。我們在此表示歉意，以後會努力做到更好。

多家企業存在類似安全漏洞

雷鋒網獲悉，除了 Google，Facebook、Instagram、Twitter 和 GitHub 都曾存在類似的安全漏洞。

今年 3 月，Facebook 表示，“數億”Facebook 用戶的密碼以明文形式存儲，多達 2 萬名 Facebook 員工可以訪問這些密碼；Twitter 也在今年3月建議總數為 3.3 億的 Twitter 用戶修改自己的密碼。不過，這兩家公司都認為沒有必要自動重置用戶密碼。

TrustedSec 公司的 CEO David Kennedy 說道：

這些公司的漏洞導致明文密碼在內部公開，然而，即使是在公司內部，它也會帶來嚴重的隱私和安全隱患。

一位發言人證實，Google 已將本次的漏洞事件向數據保護監管機構進行了通報；出於極大的謹慎，Google 還將通知那些密碼處在威脅之中的 G Suite 管理員，如果管理員沒有重置密碼，Google 則會幫助他們重置。

Google 在事後主動向相關的監管機構通報，並積極聯繫企業重置密碼，也算是亡羊補牢了。

不過，Google 在長達十四年的時間裡都未能發現這個安全漏洞，那麼發現下一個漏洞要花多長時間呢？誰又會為這些漏洞買單呢？