谷歌将G套件用户的密码以明文形式存储了14年

继Facebook和Twitter之后，谷歌成为最新一家在其服务器上意外地以明文形式存储用户密码的科技巨头，这意味着任何有权访问这些服务器的谷歌员工都可以阅读它们。

G套件，以前称为谷歌应用，是一个云计算、生产力和协作工具的集合，专为企业用户设计，为他们的企业托管电子邮件。

它基本上是谷歌提供的一切的商业版本。
该漏洞目前已被修补，存在于G Suite客户的密码恢复机制中，该机制允许企业管理员在不知道其以前密码的情况下为其域的任何用户上传或手动设置密码，以帮助企业与入职员工合作并恢复帐户。

谷歌透露，如果管理员确实重置了密码，管理控制台将以明文形式存储这些密码的副本，而不是对其进行加密。

 

“我们在2005年实现这一功能时犯了一个错误，管理控制台存储了一份未加密密码的副本，”谷歌说。
然而，谷歌还表示，这些明文密码并不是存储在开放的互联网上，而是存储在自己的安全加密服务器上，公司没有发现任何证据表明任何人的密码被不当访问。

 

谷歌表示：“这种做法没有达到我们的标准。需要澄清的是，这些密码仍保留在我们安全的加密基础设施中”。“这个问题已经解决，我们没有看到任何迹象表明对受影响密码的不当访问或滥用”。

 

谷歌还澄清，该漏洞仅限于其商业G套件应用程序的用户，没有Gmail等免费版本的谷歌账户受到影响。

虽然该公司没有透露有多少用户可能受到该漏洞的影响，只是说该问题影响了“我们企业G套件客户的一部分”，有500多万G套件企业客户，但该漏洞可能会影响大量用户，大概是过去14年中使用G套件的任何用户。
为了解决这个问题，谷歌从G套件管理员那里删除了这项功能，并通过电子邮件向他们发送了一份受影响用户的列表，要求他们确保这些用户重置密码。

谷歌表示，公司将自动为那些不更改密码的用户重置密码。

 

这家科技巨头表示：“出于谨慎考虑，我们将自行重置尚未重置的账户”。

 

谷歌是最新一家在其内部服务器上意外存储未加密密码的科技公司。最近，Facebook因在其内部服务器上为数亿用户（Instagram和Facebook）存储明文密码而成为新闻。

大约一年前，Twitter还报告了一个类似的安全漏洞，该漏洞无意中将其3.3亿用户的密码暴露在其内部计算机系统的可读文本中。