谷歌旗下企業辦公室套件Workspace 最近被發現存在重大安全問題，該問題持續時間已經快2 個月，而且谷歌最初在收到報告後並未重視導致大量帳戶遭到未經授權的訪問。

在安全公告中谷歌承認駭客能夠創建繞過Workspace 帳戶所需的電子郵件驗證系統，正常情況下用戶想要在企業/ 組織內創建帳戶需要先驗證自己的電子郵件，驗證完成後才能創建歸屬於該企業/ 組織的Workspace 帳戶。

駭客透過特製的請求繞過了驗證系統成功建立Workspace 帳戶，然後可以使用該帳戶作為SSO 單一登入帳戶存取企業使用的其他服務，包括Google Drive 等，也就是企業資料可能遭到了洩露。

谷歌在發送給受影響企業的郵件中表示：

在過去幾週我們發現了一場小規模的濫用活動，其中不良行為者使用專門構建的請求繞過了我們的電子郵件驗證步驟，這些用戶可以利用谷歌登入存取第三方應用程式。

這個問題始於6 月底，影響了數千個Workspace 帳戶，谷歌在發現問題後的72 小時內就修復了問題，同時谷歌還添加了額外的檢測功能防止此類身份驗證被繞過。

然而在HN 上不少用戶抱怨谷歌在撒謊，其中一名用戶至少在6 月6 日就受到了該問題的影響，而不是谷歌所說的6 月底；另一名用戶則表示自己在2023 年7月就遇到了類似的問題。

還有一名用戶在6 月7 日遇到這種情況後立即報告給了Google：

谷歌的說法根本不是事實，攻擊始於6 月初，我作為當時的受害者之一，我還有6 月7 日反饋該問題的工單號碼。

顯然從用戶說法來看谷歌完全在撒謊，作為企業級辦公室套件Workspace 出現這種問題本身不應該，但更大的問題在於谷歌似乎沒有重視普通用戶的報告，而是當有安全研究團隊報告相同的問題後谷歌才開始修復。

考慮到這個漏洞已經持續這麼長的時間，受影響的客戶可能遠遠不只是幾千個，所以現在不少用戶對谷歌的透明度產生了懷疑，如此重大的安全問題理應及時、完整的披露詳情，當然也不應該忽視用戶的報告。