安全漏洞潜伏十四年,你的 Google 账号还好吗?
5 月 22 日,Google 在博客中透露,公司最近发明白自 2005 年起就存在的安详裂痕,裂痕导致部门 G Suite 企业用户的暗码以明文情势储存。 今朝尚不清晰有几多企业用户受到了影响,但 Google 明晰暗示,暂无证据表白用户的暗码被犯科会见过。另外,Google 也在起劲地采纳调停法子,好比关照相干企业的 G Suite 打点员,或重置也许受到影响的账户暗码。 “秘密”了十四年的裂痕被发明 G Suite 是由 Gmail、Google 云盘、Google 文档等应用措施组合而成的一个办公套件,Google 在本年 2 月份透露,环球共有 500 万个组织订阅了该处事,个中包罗 60% 的财产 500 强公司。 而该裂痕之以是呈现,恰好是由于 Google 专为企业计划的成果。 2005 年,为了利便企业打点成员的账号,尤其是辅佐新员工入职,企业的 G Suite 打点员可以或许手动上传、配置和规复成员的暗码。然而,这种方法存在缺陷,由于它会将暗码以明文的情势储存到打点节制台,而非通过哈希加密储存到 Google 处事器。 这样一来,用户的暗码就处在了风险之中。随后,Google 删除了这一成果。 Google 工程部副总裁 Suzanne Frey 说道:
Google 的官方声明中还花了大量篇幅来表明哈希加密存储的事变道理,他们好像不但愿人们把这个裂痕与其他暗码泄漏题目归为一类。 不外,人们照旧对这一环境感想忧虑。TrustedSec 公司的 CEO David Kennedy 说道: Google 在这方面一向拥有精采的荣誉,然而,这个安详裂痕存在了十四年之久至今才被发明,这不免会让人感想不安。 新裂痕“暗藏”了近半年之久 图片来自:Angel Garcia / Bloomberg / Getty Images 雷锋网获悉,本月早些时辰,Google 在对 G Suite 新用户注册流程举办妨碍解除时,发明白另一个明文暗码裂痕。 自本年 1 月起,在 G Suite 新用户完成注册之后,Google 内部体系会自动地存储用户的明文暗码,这些未加密的暗码最多生涯了 14 天,不外该体系只对数目有限的授权员工开放。 今朝,这个存在了近半年的新裂痕也获得了修复,并且,同样没有证据表白这些数据遭到了恶融会见。 Suzanne Frey 在博客中写道: 除了暗码之外,我们的身份验证体系还具有多层自动防止体系,纵然恶融会见者知道暗码,体系也会阻止它登录。另外,我们还为 G Suite 打点员提供了 “两步验证”(2SV)选项,包罗安详密钥,我们本身的员工帐户就依靠于这些密钥。 雷锋网注:2VS 即 2-step verification,最常见的示意情势为通过邮箱/手机验证码举办双重验证 在博客的最后,Suzanne Frey 还表达了 Google 对此次变乱的歉意,文中写道: 我们很是重视企业用户的安详,并为本身在用户安详方面的实践而孤高。不外,这一次我们没有到达本身的尺度,也没有到达用户对我们的祈望。我们在此暗示歉意,往后会全力做到更好。 多家企业存在相同安详裂痕 雷锋网获悉,除了 Google,Facebook、Instagram、Twitter 和 GitHub 都曾存在相同的安详裂痕。 本年 3 月,Facebook 暗示,“数亿”Facebook 用户的暗码以明文情势存储,多达 2 万名 Facebook 员工可以会见这些暗码;Twitter 也在本年3月提议总数为 3.3 亿的 Twitter 用户修改本身的暗码。不外,这两家公司都以为没有须要自动重置用户暗码。 TrustedSec 公司的 CEO David Kennedy 说道: 这些公司的裂痕导致明文暗码在内部果真,然而,纵然是在公司内部,它也会带来严峻的隐私和安详隐患。 一位讲话人证实,Google 已将本次的裂痕变乱向数据掩护禁锢机构举办了传递;出于极大的审慎,Google 还将关照那些暗码处在威胁之中的 G Suite 打点员,假如打点员没有重置暗码,Google 则会辅佐他们重置。 Google 在过后主动向相干的禁锢机构传递,并起劲接洽企业重置暗码,也算是亡羊补牢了。 不外,Google 在长达十四年的时刻里都未能发明这个安详裂痕,那么发明下一个裂痕要花多长时刻呢?谁又会为这些裂痕买单呢? 本文转自雷锋网,如需转载请至雷锋网官网申请授权。 【编辑保举】
点赞 0 (编辑:河北网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |