英超赛事下注_安全漏洞潜伏十四年,你的 Google 账号还好吗?

作者:英超赛事下注-竞猜平台  时间:2019-05-30  浏览量:58

安全漏洞潜伏十四年,你的 Google 账号还好吗?

雷锋网动静,5 月 22 日,Google 在博客中流露,公司比来发现了自 2005 年起就存在的平安缝隙,缝隙致使部门 G Suite 企业用户的暗码以明文情势贮存。

今朝尚不清晰有几多企业用户遭到了影响,但 Google 明白暗示,暂无证据注解用户的暗码被不法拜候过。另外,Google 也在积极地采纳解救办法,好比通知相干企业的 G Suite 治理员,或重置可能遭到影响的账户暗码。

“隐蔽”了十四年的缝隙被发现

安全漏洞潜伏十四年,你的 Google 账号还好吗?

G Suite 是由 Gmail、Google 云盘、Google 文档等利用法式组合而成的一个办公套件,Google 在本年 2 月份流露,全球共有 500 万个组织定阅了该办事,此中包罗 60% 的财富 500 强公司。

而该缝隙之所以呈现,恰好是由于 Google 专为企业设计的功能。

2005 年,为了便利企业治理成员的账号,特别是帮忙新员工入职,企业的 G Suite 治理员可以或许手动上传、设置和恢复成员的暗码。但是,这类体例存在缺点,由于它会将暗码以明文的情势贮存到治理节制台,而非经由过程哈希加密贮存到 Google 办事器。

如许一来,用户的暗码就处在了风险当中。随后,Google 删除这一功能。

Google 工程部副总裁 Suzanne Frey 说道:

我们应当明白这一点,固然这些暗码没有颠末哈希加密贮存,但它们仍保存 Google 颠末平安加密的根本举措措施中。此刻,这个问题已获得解决,并且也没有明白证据注解这些暗码遭到了不妥拜候或滥用。别的,这些明文暗码一向存储在 Google 办事器里,比存储到开放互联网上的暗码更难拜候。

安全漏洞潜伏十四年,你的 Google 账号还好吗?

Google 的官方声明中还花了年夜量篇幅来注释哈希加密存储的工作道理,他们仿佛不但愿人们把这个缝隙与其他暗码泄漏问题归为一类。

不外,人们仍是对这一环境感应耽忧。TrustedSec 公司的 CEO David Kennedy 说道:

Google 在这方面一向具有杰出的名誉,但是,这个平安缝隙存在了十四年之久至今才被发现,这不免会让人感应不安。

新缝隙“暗藏”了近半年之久

安全漏洞潜伏十四年,你的 Google 账号还好吗?

图片来自:Angel Garcia / Bloomberg / Getty Images

雷锋网得悉,本月早些时辰,Google 在对 G Suite 新用户注册流程进行故障解除时,发现了另外一个明文暗码缝隙。

自本年 1 月起,在 G Suite 新用户完成注册以后,Google 内部系统会主动地存储用户的明文暗码,这些未加密的暗码最多保留了 14 天,不外该系统只对数目有限的授权员工开放。

今朝,这个存在了近半年的新缝隙也获得了修复,并且,一样没有证据注解这些数据遭到了歹意拜候。

Suzanne Frey 在博客中写道:

除暗码以外,我们的身份验证系统还具有多层主动防御系统,即便歹意拜候者知道暗码,系统也会禁止它登录。另外,我们还为 G Suite 治理员供给了 “两步验证”(2SV)选项,包罗平安密钥,我们本身的员工帐户就依靠在这些密钥。

安全漏洞潜伏十四年,你的 Google 账号还好吗?

雷锋网注:2VS 即 2-step verification,最多见的表示情势为经由过程邮箱/手机验证码进行两重验证

在博客的最后,Suzanne Frey 还表达了 Google 对此次事务的歉意,文中写道:

我们很是正视企业用户的平安,并为本身在用户平安方面的实践而高傲。不外,这一次我们没有到达本身的尺度,也没有到达用户对我们的期望。我们在此暗示歉意,今后会尽力做到更好。

多家企业存在近似平安缝隙

雷锋网(公家号:雷锋网)得悉,除 Google,Facebook、Instagram、Twitter 和 GitHub 都曾存在近似的平安缝隙。

本年 3 月,Facebook 暗示,“数亿”Facebook 用户的暗码以明文情势存储,多达 2 万名 Facebook 员工可以拜候这些暗码;Twitter 也在本年3月建议总数为 3.3 亿的 Twitter 用户点窜本身的暗码。不外,这两家公司都认为没有需要主动重置用户暗码。

TrustedSec 公司的 CEO David Kennedy 说道:

这些公司的缝隙致使明文暗码在内部公然,但是,即便是在公司内部,它也会带来严重的隐私和平安隐患。

一名讲话人证实,Google 已将本次的缝隙事务向数据庇护监管机构进行了传递;出在极年夜的谨严,Google 还将通知那些暗码处在要挟当中的 G Suite 治理员,假如治理员没有重置暗码,Google 则会帮忙他们重置。

Google 在过后自动向相干的监管机构传递,并积极联系企业重置暗码,也算是亡羊补牢了。

不外,Google 在长达十四年的时候里都未能发现这个平安缝隙,那末发现下一个缝隙要花多长时候呢?谁又会为这些缝隙买单呢?

雷锋网版权文章,未经授权制止转载。详情见转载须知。

安全漏洞潜伏十四年,你的 Google 账号还好吗? 英超赛事下注-竞猜平台