当前位置:现场开码 > 手机现场直播开吗 > 正文

安全漏洞潜伏十四年你的Google账号还好吗?

日期:2019-06-12   

  雷锋网消息,5 月 22 日,Google 在博客中透露,公司最近发现了自 2005 年起就存在的安

  雷锋网消息,5 月22 日,Google 在博客中透露,公司最近发现了自2005 年起就存在的安全漏洞,漏洞导致部分G Suite 企业用户的密码以明文形式储存。

  目前尚不清楚有多少企业用户受到了影响,但Google 明确表示,暂无证据表明用户的密码被非法访问过。此外,Google 也在积极地采取补救措施,比如通知相关企业的G Suite 管理员,或重置可能受到影响的账户密码。

  G Suite 是由Gmail、Google 云盘、Google 文档等应用程序组合而成的一个办公套件,Google 在今年2 月份透露,全球共有500 万个组织订阅了该服务,其中包括60% 的财富500 强公司。

  2005 年,为了方便企业管理成员的账号,尤其是帮助新员工入职,企业的G Suite 管理员能够手动上传、设置和恢复成员的密码。然而,这种方式存在缺陷,因为它会将密码以明文的形式储存到管理控制台,而非通过哈希加密储存到Google 服务器。

  这样一来,用户的密码就处在了风险之中。随后,Google 删除了这一功能。

  我们应该明确这一点,虽然这些密码没有经过哈希加密储存,但它们仍保留Google 经过安全加密的基础设施中。现在,这个问题已得到解决,而且也没有明确证据表明这些密码遭到了不当访问或滥用。另外,这些明文密码一直存储在Google 服务器里,比存储到开放互联网上的密码更难访问。

  Google 的官方声明中还花了大量篇幅来解释哈希加密存储的工作原理,他们似乎不希望人们把这个漏洞与其他密码泄露问题归为一类。

  Google 在这方面一直拥有良好的声誉,然而,这个安全漏洞存在了十四年之久至今才被发现,这难免会让人感到不安。

  雷锋网获悉,本月早些时候,Google 在对G Suite 新用户注册流程进行故障排除时,发现了另一个明文密码漏洞。

  自今年1 月起,在G Suite 新用户完成注册之后,Google 内部系统会自动地存储用户的明文密码,这些未加密的密码最多保存了14 天,不过该系统只对数量有限的授权员工开放。

  目前,这个存在了近半年的新漏洞也得到了修复,而且,同样没有证据表明这些数据遭到了恶意访问。

  除了密码之外,我们的身份验证系统还具有多层自动防御系统,即使恶意访问者知道密码,系统也会阻止它登录。此外,我们还为G Suite 管理员提供了“两步验证”(2SV)选项,包括安全密钥,我们自己的员工帐户就依赖于这些密钥。

  雷锋网注:2VS 即2-step verification,最常见的表现形式为通过邮箱/手机验证码进行双重验证

  在博客的最后,Suzanne Frey 还表达了Google 对此次事件的歉意,文中写道:

  我们非常重视企业用户的安全,并为自己在用户安全方面的实践而自豪。不过,这一次我们没有达到自己的标准,也没有达到用户对我们的期望。我们在此表示歉意,以后会努力做到更好。

  今年3 月,Facebook 表示,“数亿”Facebook 用户的密码以明文形式存储,多达2 万名Facebook 员工可以访问这些密码;Twitter 也在今年3月建议总数为3.3 亿的Twitter 用户修改自己的密码。不过,这两家公司都认为没有必要自动重置用户密码。

  这些公司的漏洞导致明文密码在内部公开,然而,即使是在公司内部,它也会带来严重的隐私和安全隐患。

  一位发言人证实,Google 已将本次的漏洞事件向数据保护监管机构进行了通报;出于极大的谨慎,Google 还将通知那些密码处在威胁之中的G Suite 管理员,如果管理员没有重置密码,Google 则会帮助他们重置。

  Google 在事后主动向相关的监管机构通报,并积极联系企业重置密码,也算是亡羊补牢了。

  不过,Google 在长达十四年的时间里都未能发现这个安全漏洞,那么发现下一个漏洞要花多长时间呢?谁又会为这些漏洞买单呢?

  标签:google 密码 漏洞 安全漏洞 雷锋网 管理员 twitter 明文密码 企业 以明 服务器 证据 恶意 用户 歉意 通报 trustedsec 新用户 账号



香港马会开奖现场直播| 现场开码| 手机现场报码开奖直播| 香港挂牌正版图| www.678654.com| 48887.com| 今期香港高清跑狗图纸| www.8338a.com| 曾道 人内暮玄机图a| 开码结果现场| 香港马会开奖现场直播| 牛牛高手论坛165555.com|