G Suite管理功能藏臭蟲，導致部份企業密碼以明碼儲存長達14年

Google周二（5月21日）指出，最近發現G Suite管理工具一項2005年發生的漏洞，導致部份G Suite企業用戶密碼以明碼儲存。Google已通知受影響的企業，並表示這些密碼沒有被存取或誤用的情形。

這項漏洞發生在G Suite管理員儀表板的早前一項密碼設定及重設的工具中。這項工具讓管理員可以上傳或手動設定員工密碼，這是專門提供新進員工上班第一天取得帳號資訊，或是未來重設定密碼之用。不過這項工具G Suite已經停用。

Google Cloud安全工程部門副總裁 Suzanne Frey解釋，這項工具在2005年實作時發生錯誤，使管理員儀表板儲存了一份未經雜湊處理（unhashed）的用戶密碼，而這是不符合Google內部安全標準的。但Frey強調這些密碼是存放在經加密的基礎架構中，Google已經解決問題，且沒有證據顯示密碼被不當存取或誤用。

部份G Suite企業用戶受到影響，Google已於早前通知這些用戶，並和客戶合作確保其用戶重設密碼，但並未說明實際用戶數。消費性Google服務，如Gmail、Google Drive用戶則不受影響。

Google還通報另一個問題。今年一月Google為新用戶解決登入問題時，發現到「一部份」未雜湊處理的密碼，儲存在加密的基礎架構中。這些密碼最長可儲存14天。Google表示，同樣沒有密碼被存取或誤用的證據，問題也已經解決。Google說會持續調查是否有其他關聯事件。

Google對這次事件致歉，並重申G Suite服務的安全防護水準。為了確保企業帳戶安全，Google方面將主動重設用戶密碼，而非由客戶自主進行，另外該公司還強調G Suite驗證系統除了密碼外還有多層防護，並有自動防堵惡意登入的機制，企業管理員也有啟動兩步驟驗證、實體安全金鑰等進階防護的選項。

這是今年來最新一宗雲端服務出包。三月臉書也爆出數百萬用戶帳號密碼從2012年起就以明文儲存，且至少有數千名員工已經搜尋過，雖然該公司說沒有證據顯示這些密碼遭到存取。去年推特、GitHub也發生類似的問題。