谷歌工作套件Workspace呈现安全漏洞 谷歌还被发现忽视用户反应并说谎

谷歌旗下企业工作套件 Workspace 最近被发现存在严重安全问题，该问题继续时刻现已快 2 个月，并且谷歌开端在收到陈述后并未注重导致很多账户遭到未经授权的拜访。

在安全公告中谷歌供认黑客能够创立绕过 Workspace 账户所需的电子邮件验证体系，正常状况下用户想要在企业 / 安排内创立账户需求先验证自己的电子邮件，验证完成后才干创立归属于该企业 / 安排的 Workspace 账户。

黑客经过特制的恳求绕过了验证体系成功创立 Workspace 账户，然后能够运用该账户作为 SSO 单点登录账户拜访企业运用的其他服务，包含 Google Drive 等，也便是企业数据或许遭到了走漏。

谷歌在发送给受影响企业的邮件中表明：

在曩昔几周咱们发现了一场小规模的乱用活动，其间不良行为者运用专门构建的恳求绕过了咱们的电子邮件验证过程，这些用户能够使用谷歌登录拜访第三方应用程序。

该问题始于 6 月底，影响了几千个 Workspace 账户，谷歌在发现问题后的 72 小时内就修正了问题，一起谷歌还添加了额定的检测功用避免此类身份验证被绕过。

然而在 HN 上不少用户诉苦谷歌在说谎，其间一名用户至少在 6 月 6 日就受到了该问题的影响，而不是谷歌所说的 6 月底；另一名用户则表明自己在 2023 年 7 月就遇到了相似的问题。

还有一名用户在 6 月 7 日遇到这种状况后当即陈述给了谷歌：

谷歌的说法底子不是现实，进犯始于 6 月初，我作为其时的受害者之一，我还有 6 月 7 日反应该问题的工单号。

明显从用户说法来看谷歌彻底在说谎，作为企业级工作套件 Workspace 呈现这种问题自身不应该，但更大的问题在于谷歌好像没有注重普通用户的陈述，而是当有安全研讨团队陈述相同的问题后谷歌才开端修正。

考虑到这个缝隙现已继续这么长的时刻，受影响的客户或许远远不只是几千个，所以现在不少用户对谷歌的透明度产生了置疑，如此严重的安全问题理应及时、完好的发表概况，当然也不应该忽视用户的陈述。