谷歌表示它已经存储了一些未使用的格式的G Suite密码已有14年

山景城，加利福尼亚州，美国 - 2018年3月29日：谷歌在谷歌的硅谷总部大楼上签字。Google是一家与互联网相关的服务和产品的美国科技公司。Google今天透露，旧的G Suite工具中的一个错误导致该公司在2005年至2019年期间将客户密码以未加密但加密的形式存储了近14年。该公司表示，只有G Suite企业客户受到影响，但不是常规Gmail帐户。大多数G Suite客户都是注册企业版Gmail，Google文档，Google协作平台，Google云端硬盘和Google各种其他服务的公司。

旧G SUITE工具中的错误

谷歌表示，这个安全漏洞的核心漏洞是它在2000年代开发的一种旧工具。

“该工具(位于管理控制台中)允许管理员为其公司用户上传或手动设置用户密码，”该公司今天表示。

“目的是帮助[G Suite管理员]加入新用户;例如，新员工可以在工作的第一天收到他们的帐户信息，以及恢复帐户。”

Google表示，在2005年实施此工具的密码设置功能时出现了错误。

通过此工具设置的密码存储在磁盘上，而不通过Google的标准密码散列算法。

Google补充说，密码最终在存储在磁盘上时被加密，这意味着Google员工或入侵者无法以明文形式查看或读取密码。

该公司表示今年发现了这个漏洞，不赞成该工具，并纠正了这个问题。

“要明确的是，这些密码仍保留在我们的安全加密基础设施中。这个问题已得到解决，我们没有看到任何不当访问或滥用受影响密码的证据，”谷歌说。

以未散列形式存储密码的第二种情况

但谷歌还披露了第二起事件，在此期间，G Suite平台存储了密码，而没有通过其常规密码散列算法。

当工作人员“对新的G Suite客户注册流程进行故障排除”时，第二起事件曝光。

谷歌表示，从2019年1月开始，G Suite在注册过程中以未散列的形式存储了密码。就像在第一次事件中一样，密码最终在保存到磁盘时被加密。

第二批未散列的密码仅存储在磁盘上14天，最大限度地减少了bug的影响，谷歌表示它也没有看到任何滥用或不正确访问与第二个错误相关的密码的迹象。

G SUITE管理员已收到通知

该公司今天表示已经通知G Suite管理员，并告诉他们重置通过旧G Suite工具设置的用户密码。

“出于谨慎的考虑，我们将重置尚未自行完成的帐户，”谷歌还补充道。这些电子邮件的副本如下所示：

续邮件。不确定该问题编号是否与我的帐户相关联，请将其删除。

在正常情况下，这个错误对受影响的客户来说不应该是一个巨大的安全风险，因为攻击者必须先破坏Google的基础架构，在其庞大的数据中心找到加密的密码，然后检索正确的解密密钥以解密密码在使用任何密码之前。

谷歌的G Suite失误肯定与Facebook最近的失败程度不同。在三月份，Facebook的考上存储的密码数以亿计的Facebook账户中与数以百万计的Instagram的账户中明文。