由於憑據存儲錯誤,G Suite用戶更改了密碼
谷歌沒有一個,而是兩個密碼存儲錯誤直接影響了它的一些用戶。這種類型的新聞勢必會引起不少人的不滿,但在每個人開始拉頭之前,讓我們看看實際發生了什麼,誰應該擔心,以及需要做些什麼。
谷歌工程副總裁兼雲信託公司的Suzanne Frey寫了一篇解釋這個問題的博客文章 ,這個消息在今天早些時候曝光。您需要知道的首要事項之一是消費者Google帳戶不受影響。博客文章沒有說明有多少用戶的密碼處理不當,但它確實注意到他們都屬於使用Google G Suite應用付費的企業客戶。換句話說,您的Gmail登錄憑據一直保持安全。
Google無意中將一些密碼存儲在純文本中
要了解谷歌的第一個密碼存儲錯誤,我們需要將磁帶倒回大約十五年。當時,搜索引擎巨頭收到了G Suite管理員的一些功能請求,他們想要更好地控制用戶的密碼。他們希望能夠為個人用戶恢復,分配和上傳密碼,這些密碼應該簡化將新人添加到企業網絡的過程。 2005年,該功能已添加到管理控制台。
從那時起,它就被一種更有效,更安全的處理用戶密碼的方式所取代,但上個月谷歌意識到由於實施錯誤,該功能已經以明文形式留下了一些密碼的副本。
第二個密碼存儲錯誤是從2019年1月開始。谷歌沒有分享太多有關此問題的詳細信息,但我們從Suzanne Frey的帳戶中了解到,當他們為其中一個客戶解決登錄問題時,她的團隊發現所做的更改四個月前,G Suite以簡單的形式存儲了密碼。
密碼沒有洩漏到谷歌的基礎設施之外
谷歌對整個事情感到相當尷尬。在通知中,Suzanne Frey為這些錯誤道歉,並指出賬戶安全性不佳表現不符合Google的標準。她還說,她的團隊正在不知疲倦地審計所有系統,並確保類似的事件不再發生。當你聽說像谷歌這樣的大公司正在努力使用正確的密碼存儲時 ,確實令人擔憂,但即便如此,也有一兩件事表明它並不像看起來那麼糟糕。
首先,Suzanne Frey指出明文密碼是在谷歌的內部基礎設施上找到的。這並沒有改變他們不應該在那裡的事實,但它確實意味著只有Google員工可以訪問它們。 Frey的團隊仍在調查這些問題,但她確實表示沒有任何證據表明任何濫用洩漏數據的行為。儘管如此,受影響組織的管理員已經收到通知,暴露其G Suite密碼的用戶將很快被迫更改。
總而言之,谷歌似乎正在很好地處理這個問題,但這並不都是好消息。我們最近目睹了一些類似的事件,所有這些事件都涉及到擁有數億用戶的大型服務. 就在一年多前,Twitter 承認 ,在一段有限的時間內,所有用戶的密碼都以明文形式存儲。最近,Facebook 還表示 ,數百萬登錄憑證在社交網絡的後端系統上保持可讀形式。一個令人擔憂的趨勢似乎正在出現,我們只能希望矽谷巨頭一直在關注並將吸取教訓。