長達15年的資安漏洞,Google坦承部分G suite用戶密碼從未加密
長達15年的資安漏洞,Google坦承部分G suite用戶密碼從未加密
2019.05.22 | Google

Google昨日(21)於部落格中自承,他們4月時發現,因系統上的疏失導致過去15年間,部份G suite客戶的密碼一直以未加密的形式,儲存在Google系統內部。

G suite是Gmail、Google雲端硬碟、Google文件等一系列服務的企業版本,目前在全球擁有超過500萬位使用者。

在過去,G suite企業用戶能手動為新進員工設定密碼,一般而言,這些密碼會先加密或打亂排序再儲存進伺服器,但由於系統上的錯誤,這項舉動將導致密碼以純文字、未加密的形式進行儲存。Google於4月發現這項Bug,並刪除了此功能。

Google強調:免費用戶不受影響

Google 雲端工程VP蘇珊妮.佛雷(Suzanne Frey)坦承,這個系統漏洞早在2005年時就已經存在,但強調該Bug僅影響「非常一小部份」的G suite用戶,並保證一般民眾的Google帳號絕對安全無虞。

儘管這項錯誤代表別有用心的Google員工,以及外部駭客都有可能竊取企業用戶密碼,佛雷澄清,受Bug影響的密碼本身雖未加密,依舊儲存在安全加密的伺服器內,並非處於毫無防護的狀態,「我們已經解決這個問題,且沒有任何跡象顯示密碼外洩或遭到濫用。」

目前Google正逐一通報企業用戶,並自動重置全部有資安疑慮的密碼,同時聲稱驗證系統在密碼外也擁有多層防護機制,能夠阻止惡意人士試圖登入企業帳戶,希望企業用戶不必太過擔憂。

即便如此,存在長達15年的資安漏洞,仍為用戶對Google的信任感蒙上一層陰影。Google在文末向用戶道歉,「我們非常注重企業用戶的安全,並對此感到自豪,然而這件事上我們不僅沒能滿足對自己的要求,也未能符合客戶的標準,我們向所有使用者致上歉意,並承諾未來會做得更好。」

Google也同時自曝,近期在為客戶解決註冊上的疑難雜症時,發現了另一個導致密碼未被加密的錯誤,不過受影響的密碼最多只在系統上留存14天,且漏洞已經被修復。

twitter iphone 牛仔褲
去年推特也因系統錯誤導致用戶密碼未正確加密,隨後該平台呼籲近3.3億位用戶盡快更改密碼,保障帳號安全。
圖/ shutterstock

Google也並非唯一一家疏於保護用戶密碼的科技巨頭。稍早之前,Facebook就被資安記者踢爆,將6億用戶的密碼以純文字形式儲存,公司內約2千名員工擁有閱覽權限;去年5月,推特(Twitter)也聲稱因系統上的錯誤,導致密碼未正確加密,並呼籲3.3億位受影響用戶盡快重設帳號密碼。

科技、網路與人們生活、工作愈加緊密相連,科技公司把持的用戶資料越來越龐大,背負的責任也逐漸沈重。Google願意揭露在保護用戶資料上所犯下的過錯,或許也間接展現他們對客戶的重視,以及加強資安防護的決心。

資料來源:WiredThe VergeTechCrunch

往下滑看下一篇文章
社群帳號不是門牌!TWNIC籲中小企業註冊.tw域名,拒當「數位無殼蝸牛」
社群帳號不是門牌!TWNIC籲中小企業註冊.tw域名,拒當「數位無殼蝸牛」

在詐騙與帳號仿冒層出不窮的數位環境中,企業的「可信身分」正面臨前所未有的挑戰。根據台灣網路資訊中心(TWNIC)《2024 台灣網路報告》指出,近三個月內有 64.8% 的台灣民眾曾接觸詐騙訊息,其中 3.56% 實際受騙造成財損;警政署「165 打詐儀表板」統計亦顯示,2025 年詐騙財損金額已突破新台幣 706億元,其中多數案件是透過社群媒體與通訊平台進行。這些開放式平台雖然便利了即時互動,但匿名性與訊息傳播的速度,也讓詐騙訊息更容易偽裝成真實資訊,削弱了大眾對整體線上溝通環境的信任。

這樣的風險並不僅限於個人使用者。TWNIC執行長余若凡指出,當企業選擇以社群平台作為主要對外窗口時,也會受到同樣的信任影響。一旦消費者對平台環境產生疑慮,即使企業本身並無不當行為,品牌的可信度仍可能受到波及。若再發生帳號被駭、被仿冒或遭停權的情況,顧客更難以分辨官方與假冒來源,企業多年累積的信任與流量可能在短時間內流失。

中小企業網站現況:有門面卻留不住客人

台灣網商協會秘書長林原也指出,多數中小企業雖已踏入數位轉型,但網站建置往往只是「靜態海報型」,缺乏會員、金流或互動功能。他以形象比喻提到,域名是門牌、虛擬主機是房子、網站內容是軟裝。沒有門牌,就像住在別人的房子,隨時可能被趕走;有了門牌與房子,才有可能好好布置與經營。他強調,若企業長期依賴社群與電商平台,就等於在替平台打工,不僅需承受高額抽成,也受限於演算法與帳號規則,一旦被封鎖或降觸及,就會發現自己什麼都沒有留下。

台灣網商協會秘書長林原
台灣網商協會秘書長林原
圖/ 數位時代

他進一步提醒,企業若僅依賴社群與電商平台,等於長期在替平台打工。平台不僅抽成高,還掌握演算法規則與顧客數據,企業一旦被降觸及或封鎖帳號,就會發現自己其實什麼都沒有留下。這樣的結構,讓許多中小企業在數位時代仍然難以累積自有數據,更無法建立長期品牌資產。「我們常看到企業抱怨平台廣告費高漲、成效卻逐年下降,但卻忽略了最基礎的一件事:沒有自己的域名,等於沒有真正的數位身分。」林原直言,中小企業要邁向數位獨立,第一步就是註冊屬於自己的專屬域名。

拒當數位無殼蝸牛,從.tw開始

為協助中小企業從根本建立「可信身分」,TWNIC作為國家級網路資訊中心,不僅負責 .tw 與 .台灣 頂級域名的管理,也肩負推動台灣整體數位信任生態的責任。TWNIC從三個面向推動相關工作:

  • 政策面 :持續優化域名註冊流程與推廣政策,降低中小企業導入門檻;
  • 教育面 :辦理講座與工作坊,提升企業主對於數位域名資產管理與資安防護的認識;
  • 合作面 :與受理註冊機構及產業夥伴合作,協助企業從註冊、建站到驗證,建立完整的一站式服務。

在具體措施上,TWNIC近期推出「52168.tw」專案,針對 112 年 1 月 1 日後完成登記的公司行號,提供一年期免費域名申請優惠,鼓勵企業註冊專屬域名、打造獨立品牌門面。同時,也推行「綠色域名認證」制度,企業通過註冊人身份驗證後,其 WHOIS 資料將標示「已通過.tw綠色域名認證」,象徵資訊真實、完整且可信,猶如掛上一面值得信賴的門牌。此外,TWNIC亦提供 Registry Lock 與 DNSSEC 等安全機制,協助企業以低成本強化資安防護與品牌保護,逐步建立穩固的數位基礎。

52168活動網站
圖/ 52168活動網站

余若凡強調,唯有當企業擁有唯一、可驗證的數位門牌,台灣整體的數位信任基礎才能真正穩固。特別是在生成式 AI 與跨平台資訊流高度重疊的時代,企業若要在搜尋與推薦機制中被正確辨識,擁有清楚的官方域名將是最基本的條件。域名不僅是連結網站的網址,更是品牌在數位空間中的憑證與信任標識。

同時余若凡也呼籲,中小企業不應將品牌的未來寄託於他人平台,而應主動建立自有域名與網站。這不只是為品牌架起一道防線,更是為台灣的網路生態奠定可信任的基礎,讓每一次點擊都能源於信任。

登入數位時代會員

開啟專屬自己的主題內容,

每日推播重點文章

閱讀會員專屬文章

請先登入數位時代會員

看更多獨享內容

請先登入數位時代會員

開啟收藏文章功能,

請先登入數位時代會員

開啟訂閱文章分類功能,

請先登入數位時代會員

我還不是會員, 註冊去!
追蹤我們
一次搞懂Vibe Coding
© 2025 Business Next Media Corp. All Rights Reserved. 本網站內容未經允許,不得轉載。
106 台北市大安區光復南路102號9樓