Google近日在部落格上自曝,部份G suite客户的密码一直以未加密的形式,储存在Google系统内部。Google昨日(21)于部落格中自承,他们4月时发现,因系统上的疏失导致过去15年间,部份G suite客户的密码一直以未加密的形式,储存在Google系统内部。
G suite是Gmail、Google云端硬碟、Google文件等一系列服务的企业版本,目前在全球拥有超过500万位使用者。
在过去,G suite企业用户能手动为新进员工设定密码,一般而言,这些密码会先加密或打乱排序再储存进伺服器,但由于系统上的错误,这项举动将导致密码以纯文字、未加密的形式进行储存。Google于4月发现这项Bug,并删除了此功能。
Google强调:免费用户不受影响Google 云端工程VP苏珊妮.佛雷(Suzanne Frey)坦承,这个系统漏洞早在2005年时就已经存在,但强调该Bug仅影响「非常一小部份」的G suite用户,并保证一般民众的Google帐号绝对安全无虞。
儘管这项错误代表别有用心的Google员工,以及外部骇客都有可能窃取企业用户密码,佛雷澄清,受Bug影响的密码本身虽未加密,依旧储存在安全加密的伺服器内,并非处于毫无防护的状态,「我们已经解决这个问题,且没有任何迹象显示密码外洩或遭到滥用。」
目前Google正逐一通报企业用户,并自动重置全部有资安疑虑的密码,同时声称验证系统在密码外也拥有多层防护机制,能够阻止恶意人士试图登入企业帐户,希望企业用户不必太过担忧。
即便如此,存在长达15年的资安漏洞,仍为用户对Google的信任感蒙上一层阴影。Google在文末向用户道歉,「我们非常注重企业用户的安全,并对此感到自豪,然而这件事上我们不仅没能满足对自己的要求,也未能符合客户的标准,我们向所有使用者致上歉意,并承诺未来会做得更好。」
Google也同时自曝,近期在为客户解决注册上的疑难杂症时,发现了另一个导致密码未被加密的错误,不过受影响的密码最多只在系统上留存14天,且漏洞已经被修复。
去年推特也因系统错误导致用户密码未正确加密,随后该平台呼吁近3.3亿位用户尽快更改密码,保障帐号安全。shutterstockGoogle也并非唯一一家疏于保护用户密码的科技巨头。稍早之前,Facebook就被资安记者踢爆,将6亿用户的密码以纯文字形式储存,公司内约2千名员工拥有阅览权限;去年5月,推特(Twitter)也声称因系统上的错误,导致密码未正确加密,并呼吁3.3亿位受影响用户尽快重设帐号密码。
科技、网路与人们生活、工作愈加紧密相连,科技公司把持的用户资料越来越庞大,背负的责任也逐渐沉重。Google愿意揭露在保护用户资料上所犯下的过错,或许也间接展现他们对客户的重视,以及加强资安防护的决心。
/3 
