長達15年的資安漏洞,Google坦承部分G suite用戶密碼從未加密

2019.05.22 by
陳建鈞
Google blog
Google近日在部落格上自曝,部份G suite客戶的密碼一直以未加密的形式,儲存在Google系統內部。

Google昨日(21)於部落格中自承,他們4月時發現,因系統上的疏失導致過去15年間,部份G suite客戶的密碼一直以未加密的形式,儲存在Google系統內部。

G suite是Gmail、Google雲端硬碟、Google文件等一系列服務的企業版本,目前在全球擁有超過500萬位使用者。

在過去,G suite企業用戶能手動為新進員工設定密碼,一般而言,這些密碼會先加密或打亂排序再儲存進伺服器,但由於系統上的錯誤,這項舉動將導致密碼以純文字、未加密的形式進行儲存。Google於4月發現這項Bug,並刪除了此功能。

Google強調:免費用戶不受影響

Google 雲端工程VP蘇珊妮.佛雷(Suzanne Frey)坦承,這個系統漏洞早在2005年時就已經存在,但強調該Bug僅影響「非常一小部份」的G suite用戶,並保證一般民眾的Google帳號絕對安全無虞。

儘管這項錯誤代表別有用心的Google員工,以及外部駭客都有可能竊取企業用戶密碼,佛雷澄清,受Bug影響的密碼本身雖未加密,依舊儲存在安全加密的伺服器內,並非處於毫無防護的狀態,「我們已經解決這個問題,且沒有任何跡象顯示密碼外洩或遭到濫用。」

目前Google正逐一通報企業用戶,並自動重置全部有資安疑慮的密碼,同時聲稱驗證系統在密碼外也擁有多層防護機制,能夠阻止惡意人士試圖登入企業帳戶,希望企業用戶不必太過擔憂。

即便如此,存在長達15年的資安漏洞,仍為用戶對Google的信任感蒙上一層陰影。Google在文末向用戶道歉,「我們非常注重企業用戶的安全,並對此感到自豪,然而這件事上我們不僅沒能滿足對自己的要求,也未能符合客戶的標準,我們向所有使用者致上歉意,並承諾未來會做得更好。」

Google也同時自曝,近期在為客戶解決註冊上的疑難雜症時,發現了另一個導致密碼未被加密的錯誤,不過受影響的密碼最多只在系統上留存14天,且漏洞已經被修復。

去年推特也因系統錯誤導致用戶密碼未正確加密,隨後該平台呼籲近3.3億位用戶盡快更改密碼,保障帳號安全。
shutterstock

Google也並非唯一一家疏於保護用戶密碼的科技巨頭。稍早之前,Facebook就被資安記者踢爆,將6億用戶的密碼以純文字形式儲存,公司內約2千名員工擁有閱覽權限;去年5月,推特(Twitter)也聲稱因系統上的錯誤,導致密碼未正確加密,並呼籲3.3億位受影響用戶盡快重設帳號密碼。

科技、網路與人們生活、工作愈加緊密相連,科技公司把持的用戶資料越來越龐大,背負的責任也逐漸沈重。Google願意揭露在保護用戶資料上所犯下的過錯,或許也間接展現他們對客戶的重視,以及加強資安防護的決心。

資料來源:WiredThe VergeTechCrunch

延伸閱讀

每日精選科技圈重要消息