圖片來源:翻攝自https://twitter.com/faker_/status/1130943878801108992/photo/1

Google周二(5月21日)指出,最近發現G Suite管理工具一項2005年發生的漏洞,導致部份G Suite企業用戶密碼以明碼儲存。Google已通知受影響的企業,並表示這些密碼沒有被存取或誤用的情形。

這項漏洞發生在G Suite管理員儀表板的早前一項密碼設定及重設的工具中。這項工具讓管理員可以上傳或手動設定員工密碼,這是專門提供新進員工上班第一天取得帳號資訊,或是未來重設定密碼之用。不過這項工具G Suite已經停用。

Google Cloud安全工程部門副總裁 Suzanne Frey解釋,這項工具在2005年實作時發生錯誤,使管理員儀表板儲存了一份未經雜湊處理(unhashed)的用戶密碼,而這是不符合Google內部安全標準的。但Frey強調這些密碼是存放在經加密的基礎架構中,Google已經解決問題,且沒有證據顯示密碼被不當存取或誤用。

部份G Suite企業用戶受到影響,Google已於早前通知這些用戶,並和客戶合作確保其用戶重設密碼,但並未說明實際用戶數。消費性Google服務,如Gmail、Google Drive用戶則不受影響。

Google還通報另一個問題。今年一月Google為新用戶解決登入問題時,發現到「一部份」未雜湊處理的密碼,儲存在加密的基礎架構中。這些密碼最長可儲存14天。Google表示,同樣沒有密碼被存取或誤用的證據,問題也已經解決。Google說會持續調查是否有其他關聯事件。

Google對這次事件致歉,並重申G Suite服務的安全防護水準。為了確保企業帳戶安全,Google方面將主動重設用戶密碼,而非由客戶自主進行,另外該公司還強調G Suite驗證系統除了密碼外還有多層防護,並有自動防堵惡意登入的機制,企業管理員也有啟動兩步驟驗證、實體安全金鑰等進階防護的選項。

這是今年來最新一宗雲端服務出包。三月臉書也爆出數百萬用戶帳號密碼從2012年起就以明文儲存,且至少有數千名員工已經搜尋過,雖然該公司說沒有證據顯示這些密碼遭到存取。去年推特、GitHub也發生類似的問題。 


Advertisement

更多 iThome相關內容