Google周二(5月21日)指出,最近发现G Suite管理工具一项2005年发生的漏洞,导致部分G Suite企业用户密码以明码存储。Google已通知受影响的企业,并表示这些密码没有被访问或误用的情形。
这项漏洞发生在G Suite管理员仪表板的早前一项密码设置及重设的工具中。这项工具让管理员可以上传或手动设置员工密码,这是专门提供新进员工上班第一天取得帐号信息,或是未来重设置密码之用。不过这项工具G Suite已经停用。
Google Cloud安全工程部门副总裁Suzanne Frey解释,这项工具在2005年实例时发生错误,使管理员仪表板存储了一份未经散列处理(unhashed)的用户密码,而这是不符合Google内部安全标准的。但Frey强调这些密码是存放在经加密的基础架构中,Google已经解决问题,且没有证据显示密码被不当访问或误用。
部分G Suite企业用户受到影响,Google已于早前通知这些用户,并和客户合作确保其用户重设密码,但并未说明实际用户数。消费性Google服务,如Gmail、Google Drive用户则不受影响。
Google还通报另一个问题。今年一月Google为新用户解决登录问题时,发现到“一部分”未散列处理的密码,存储在加密的基础架构中。这些密码最长可存储14天。Google表示,同样没有密码被访问或误用的证据,问题也已经解决。Google说会持续调查是否有其他关联事件。
Google对这次事件致歉,并重申G Suite服务的安全防护水准。为了确保企业帐户安全,Google方面将主动重设用户密码,而非由客户自主进行,另外该公司还强调G Suite验证系统除了密码外还有多层防护,并有自动防堵恶意登录的机制,企业管理员也有启动两步验证、实体安全密钥等高端防护的选项。
这是今年来最新一宗云计算服务出现bug。三月脸书也爆出数百万用户帐号密码从2012年起就以明文存储,且至少有数千名员工已经搜索过,虽然该公司说没有证据显示这些密码遭到访问。去年推特、GitHub也发生类似的问题。