谷歌发现GSuite漏洞:部分密码以明文形式保存长达14年部分GSuite用户的密码以明文形式存储。 在博文中表示,该漏洞自2005年以来就存在,但谷歌未能找到任何证据表明任何人的密码被非法访问。该公司正在重置可能受影响的密码,并已通知个别GSuite管理员。GSuite是Gmail和其他Google应用程序的企业版。显然,GSuite中的这个漏洞源于为企业设计的功能。最初,公司GSuite应用程序的管理员可以手动设置用户密码——例如,在雇用新员工之前——如果他们这样做,管理控制台将以明文而不是散列加密的形式存储这些密码,之后谷歌删除了这个管理功能。 谷歌的帖子详细解释了加密哈希的工作原理,似乎是为了澄清与此漏洞相关的细微差别。尽管密码以明文形式存储,但至少它们以明文形式存储在谷歌的服务器上,因此比存储在开放的互联网上更难访问。谷歌似乎也在试图让人们相信,这个漏洞不同于其他泄露的明文密码问题,尽管它没有明确说明。 另外,谷歌没有说有多少用户受到这个漏洞的影响,只是说这个漏洞影响了“我们的一些企业GSuite用户”——估计是那些在2005年使用过GSuite的用户。虽然谷歌已经发现没有任何人恶意使用此访问权限的证据,也不清楚谁可以访问明文密码。 目前该漏洞已被修复,谷歌在博文***中表达了歉意。
