G Suite管理功能藏臭虫导致部份企业密码以明码储存长达14年

图片来源：翻摄自https://twitter.com/faker_/status/1130943878801108992/photo/1

Google周二（5月21日）指出，最近发现G Suite管理工具一项2005年发生的漏洞，导致部份G Suite企业用户密码以明码储存。Google已通知受影响的企业，并表示这些密码没有被存取或误用的情形。

这项漏洞发生在G Suite管理员仪表板的早前一项密码设定及重设的工具中。这项工具让管理员可以上传或手动设定员工密码，这是专门提供新进员工上班第一天取得帐号资讯，或是未来重设定密码之用。不过这项工具G Suite已经停用。

Google Cloud安全工程部门副总裁 Suzanne Frey解释，这项工具在2005年实作时发生错误，使管理员仪表板储存了一份未经杂凑处理（unhashed）的用户密码，而这是不符合Google内部安全标準的。但Frey强调这些密码是存放在经加密的基础架构中，Google已经解决问题，且没有证据显示密码被不当存取或误用。

部份G Suite企业用户受到影响，Google已于早前通知这些用户，并和客户合作确保其用户重设密码，但并未说明实际用户数。消费性Google服务，如Gmail、Google Drive用户则不受影响。

Google还通报另一个问题。今年一月Google为新用户解决登入问题时，发现到「一部份」未杂凑处理的密码，储存在加密的基础架构中。这些密码最长可储存14天。Google表示，同样没有密码被存取或误用的证据，问题也已经解决。Google说会持续调查是否有其他关联事件。

Google对这次事件致歉，并重申G Suite服务的安全防护水準。为了确保企业帐户安全，Google方面将主动重设用户密码，而非由客户自主进行，另外该公司还强调G Suite验证系统除了密码外还有多层防护，并有自动防堵恶意登入的机制，企业管理员也有启动两步骤验证、实体安全金钥等进阶防护的选项。

这是今年来最新一宗云端服务出包。三月脸书也爆出数百万用户帐号密码从2012年起就以明文储存，且至少有数千名员工已经搜寻过，虽然该公司说没有证据显示这些密码遭到存取。去年推特、GitHub也发生类似的问题。