谷歌自曝安全漏洞，部分 G Suite 用户密码以明文形式存储达 14 年

谷歌表示，有一小部分企业用户的密码被错误地以明文形式存储在其系统当中。

这家搜索巨头在周二披露了这一漏洞，但拒绝透露究竟有多少企业用户受到了影响。“我们最近通知了一部分 G Suite 企业用户，有些密码未经哈希加密就存储在我们的加密内部系统当中。” 谷歌工程副总裁苏珊娜·弗雷（Suzanne Frey）说道。

密码一般会经由哈希算法进行加密，以防止它们被人读取。在企业当中，G Suite 管理员可以为企业员工手动上传、设置和恢复新的用户密码，这在新员工入职时很有用处。但谷歌表示，他们在 4 月份时发现，他们在 2005 年时为企业级产品实现密码设置和恢复的方式是错误的，并且会错误地以明文形式存储密码的副本。

在那之后，谷歌已经删除了上述功能。

弗雷表示，没有任何消费级 Gmail 账户受到这个安全漏洞的影响。

“需要说清楚的是，这些密码仍然存储在我们安全的加密基础设施当中。” 弗雷说，“这个问题已经得到解决，我们没有看到任何证据表明曾有人不当访问或滥用那些受到影响的密码。”

使用谷歌 G Suite 的企业用户数量 超过了 500 万 。

谷歌表示，在本月早些时候，他们在为新用户注册 G Suite 排除故障时还发现了第二个安全漏洞。该公司称，从今年 1 月开始，他们在内部系统中错误地存储了 “一小部分” 未经哈希加密的 G Suite 密码，时间长达两周。谷歌表示，只有数量有限、经过授权的谷歌员工能够访问那些系统。

“这个问题也已经得到了解决，我们在这里也没有看到任何证据表明曾有人不当访问或滥用那些受到影响的密码。”

谷歌表示，他们已经向 G Suite 管理员发出了有关密码安全漏洞的警告，并将对那些尚未做出更改的账户密码进行重置。

一位发言人证实，谷歌已经向数据保护监管机构通报了安全漏洞事件。

在过去一年来，谷歌是对外承认以明文形式存储敏感数据的最新公司。 今年 3 月 ，Facebook 曾表示，“数亿”Facebook 和 Instagram 用户的密码被以明文形式存储。去年， Twitter 和 GitHub 也通报了类似的安全漏洞。

翻译：王灿均（ @何无鱼 ）

Google says some G Suite user passwords were stored in plaintext since 2005