谷歌说它把一些G套件的密码以非固定格式存储了14年

释放双眼,带上耳机,听听看~!

美国加利福尼亚州山景城2018年3月29日:谷歌在位于硅谷的谷歌总部大楼上签名。谷歌是一家在互联网相关服务和产品方面的美国科技公司。

谷歌(Google)今天披露,在2005年至2019年期间,一款旧的G Suite工具出现了一个漏洞,导致该公司将客户密码存储在一种未加密的格式中,使用了近14年的时间。

该公司表示,只有G套件企业的客户受到影响,而不是普通的Gmail账户。

大多数G套件的客户都是为gmail、google文档、google站点、google Drive和google其他服务的企业版注册的公司。

谷歌说,这个安全漏洞的核心是它在21世纪开发的一个旧工具。

该公司今天表示:“该工具(位于管理控制台中)允许管理员上传或手动设置公司用户的密码。”

其目的是帮助[G Suite Admins]新用户上岗;例如,新雇员可以在工作的第一天收到他们的帐户信息,并收回帐户。

谷歌说,它在2005年实现这个工具的密码设置功能时出错了。

通过这个工具设置的密码存储在磁盘上,而不需要通过Google的标准密码哈希算法。

谷歌补充称,这些密码最终被存储在磁盘上,这意味着谷歌员工或入侵者无法看到或读取明文密码。

该公司表示,今年发现了该漏洞,对该工具不屑一顾,并纠正了这一问题。

谷歌表示:“要明确的是,这些密码仍然存在于我们的安全加密基础设施中。这个问题已经得到解决,我们没有看到任何证据表明,这些密码被不当使用或误用。”

但谷歌还披露了第二起事件,在此期间,G Suite平台没有通过常规密码哈希算法来存储密码。

第二次事件发生时,工作人员是“排除新的GSuite客户注册流。”.

谷歌表示,从2019年1月开始,G Suite在注册过程中以未加密的形式存储了设置的密码。就像在第一次事件中,密码最终在保存到磁盘时被加密。

第二批未加密的密码只存储在磁盘上14天,从而将漏洞的影响降到最低。谷歌表示,它也没有发现任何滥用或不当访问与第二个漏洞相关的密码的迹象。

公司今天表示,它已经通知了GSuite管理员,并告诉他们重置通过旧G套件工具设置的用户密码。

谷歌还补充道:“出于谨慎的考虑,我们将重新设置自己没有这么做的账户。”以下是这些电子邮件的副本:

康特。邮件。不确定那个问题号是否和我的帐户有关联,把它给抹掉了。也许你很感兴趣吧?pic.twitter.com/XV9ysqf1k2

在正常情况下,该漏洞不应该对受影响的客户构成巨大的安全风险,因为攻击者必须首先破坏Google的基础设施,在其庞大的数据中心找到加密的密码,然后检索正确的解密密钥,以便在使用任何密码之前解密密码。

谷歌的G套件错误肯定不在与最近的FacebookSNAFU相同的级别上。在3月份,Facebook承认以明文形式存储了数百万个Facebook账户和数百万Instagram账户的密码。

人已赞赏
安全新闻

一些iOS用户共享了Twitter bug的位置数据

2019-11-15 0:39:34

安全新闻

俄罗斯的Yandex将其Alice语音助手扩展到智能家居

2019-11-15 0:39:38

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索