- 手机:
- 15657588140
- 电话:
- 0898-88889999
- 邮箱:
- admin@tj97.com
- 地址:
- 广西壮族自治区梧州市普定县洛计大楼366号
消息,5 月 22 日,Google 在博客中透漏,公司最近找到了自 2005 年起就不存在的安全漏洞,漏洞造成部分 G Suite 企业用户的密码以明文形式储存。目前尚能不确切有多少企业用户受到了影响,但 Google 具体回应,暂不证据指出用户的密码被非法采访过。此外,Google 也在大力地采行补救措施,比如通报涉及企业的 G Suite 管理员,或重置有可能受到影响的账户密码。
“不为人知”了十四年的漏洞被找到G Suite 是由 Gmail、Google 云盘、Google 文档等应用程序组合而成的一个办公套件,Google 在今年 2 月份透漏,全球共计 500 万个的组织订阅者了该服务,其中还包括 60% 的财富 500 强劲公司。而该漏洞之所以经常出现,才是是因为 Google 专为企业设计的功能。
2005 年,为了便利企业管理成员的账号,特别是在是协助新的员工入职,企业的 G Suite 管理员需要手动上载、设置和完全恢复成员的密码。然而,这种方式不存在缺失,因为它不会将密码以明文的形式储存到管理控制器,而非通过哈希加密储存到 Google 服务器。
这样一来,用户的密码就处在了风险之中。随后,Google 移除了这一功能。Google 工程部副总裁 Suzanne Frey 说:我们应当具体这一点,虽然这些密码没经过哈希加密储存,但它们仍保有 Google 经过安全性加密的基础设施中。现在,这个问题已获得解决问题,而且也没具体证据指出这些密码遭了失当采访或欺诈。
另外,这些明文密码仍然存储在 Google 服务器里,比存储到对外开放互联网上的密码更加无以采访。Google 的官方声明中还花上了大量篇幅来说明哈希加密存储的工作原理,他们或许不期望人们把这个漏洞与其他密码泄漏问题不属于一类。不过,人们还是对这一情况深感忧虑。
TrustedSec 公司的 CEO David Kennedy 说:Google 在这方面仍然享有较好的声誉,然而,这个安全漏洞不存在了十四年之幸至今才被找到,这难免会让人深感忧虑。新的漏洞“潜入”了近半年之幸图片来自:Angel Garcia / Bloomberg / Getty Images得知,本月早些时候,Google 在对 G Suite 新的用户注册流程展开故障回避时,找到了另一个明文密码漏洞。自今年 1 月起,在 G Suite 新的用户已完成登记之后,Google 内部系统不会自动地存储用户的明文密码,这些并未加密的密码最多留存了 14 天,不过该系统只对数量受限的许可员工对外开放。目前,这个不存在了近半年的新漏洞也获得了修缮,而且,某种程度没证据指出这些数据遭了蓄意采访。
Suzanne Frey 在博客中写到:除了密码之外,我们的身份验证系统还具备多层自动防卫系统,即使蓄意访问者告诉密码,系统也不会制止它指定。此外,我们还为 G Suite 管理员获取了 “两步检验”(2SV)选项,还包括安全性密钥,我们自己的员工帐户就依赖这些密钥。(公众号:)录:2VS 即 2-step verification,最少见的表现形式为通过邮箱/手机验证码展开双重检验在博客的最后,Suzanne Frey 还传达了 Google 对此次事件的歉意,文中写到:我们非常重视企业用户的安全性,并为自己在用户安全性方面的实践中而自豪。
不过,这一次我们没超过自己的标准,也没超过用户对我们的希望。我们在此表示歉意,以后不会努力做到更佳。多家企业不存在类似于安全漏洞得知,除了 Google,Facebook、Instagram、Twitter 和 GitHub 都曾不存在类似于的安全漏洞。
今年 3 月,Facebook 回应,“数亿”Facebook 用户的密码以明文形式存储,多达 2 万名 Facebook 员工可以采访这些密码;Twitter 也在今年3月建议总数为 3.3 亿的 Twitter 用户改动自己的密码。不过,这两家公司都指出没适当自动重置用户密码。TrustedSec 公司的 CEO David Kennedy 说:这些公司的漏洞造成明文密码在内部公开发表,然而,即使是在公司内部,它也不会带给相当严重的隐私和安全隐患。
一位发言人证实,Google 已将本次的漏洞事件向数据保护监管机构展开了通报;出于很大的慎重,Google 还将通报那些密码处在威胁之中的 G Suite 管理员,如果管理员没重置密码,Google 则不会协助他们重置。Google 在事后主动向涉及的监管机构通报,并大力联系企业重置密码,也却是亡羊补牢了。不过,Google 在长达十四年的时间里都没能找到这个安全漏洞,那么找到下一个漏洞要花上多长时间呢?谁又不会为这些漏洞买单呢?版权文章,予以许可禁令刊登。下文闻刊登须知。
本文关键词:凯发一触即发(中国区)官方网站,凯发·k8(国际) - 官方网站·一触即发
本文来源:凯发一触即发(中国区)官方网站-www.tj97.com