谷歌发现G Suite漏洞：部分密码明文存储长达十四年

北京时间5月22日上午，据美国科技媒体The Verge报道，谷歌在博客帖子中透露，该公司最近发现了一个漏洞，导致一些G Suite用户的密码以明文形式存储。该

博客帖子称，该漏洞自2005年以来一直存在，但谷歌未能找到任何证据证明任何人的密码被非法访问。该公司正在重置可能受影响的密码，并已通知相应的通用套件管理员。

G套件是Gmail和其他谷歌应用程序的企业版。显然，通用套件中的缺陷源于专门为企业设计的功能。首先，公司的G套件应用管理员可以手动设置用户密码——。例如，如果管理员在新员工开始工作之前执行此操作，管理控制台将以明文形式存储这些密码，而不是散列加密存储。之后，谷歌将删除这个管理员功能。

谷歌的帖子详细解释了加密哈希是如何工作的，好像是为了区分与此漏洞相关的细微差别。尽管密码以明文形式存储，但它们至少以明文形式存储在谷歌的服务器上，因此这些明文密码比存储在开放互联网上的密码更难访问。虽然谷歌没有具体说明，但谷歌似乎也在试图说服人们，这个漏洞不同于其他公开的明文密码问题。

此外，谷歌没有具体说明有多少用户受到该漏洞的影响，但表示该漏洞影响了“我们公司的一些G套件用户”——，据估计这些用户曾在2005年使用过G套件。虽然谷歌没有发现任何证据表明有人恶意使用了这个访问权限，但我们无法清楚地知道谁访问了这些明文密码。