50万用户详细资料恐泄露 谷歌逐步关闭社交平台Google+

xiannv  64天前

图片.png

谷歌将关闭其社交媒体网络消费者版Google+,原因是由于泄露超过500,000个Google+帐户的个人信息的API漏洞。

“但是,我们在修补错误前的两周内进行了详细的分析,根据该分析,最多可能会影响500,000个Google+帐户的个人资料。我们的分析显示,最多有438个应用程序可能使用了此API,”谷歌在今天发布的博客文章中表示

“虽然我们的工程团队多年来在构建Google+方面付出了很多努力和奉献精神,但它并没有实现广泛的消费者或开发人员的采用,并且用户互动有限应用程序,“谷歌发布了关于Google+关闭的博客文章。“消费者版的Google+目前使用率和参与度都很低:90%的Google+用户会话时间不到5秒。”

Google+的消费者功能将在10个月内关闭,而Google会将产品转换为企业内部使用。

API错误导致数据泄露

在对名为Project Strobe的Google+ API进行代码审核后,Google表示他们发现了一个可能泄露Google+帐户隐私信息的漏洞。此漏洞可能允许第三方开发者使用API​​并访问超过500,000名用户的数据用户的朋友的非公共信息。可访问的非公开信息包括帐户持有人的姓名,电子邮件地址,职业,性别和年龄。

需要强调的是,作为我们Project Strobe审计的一部分,我们在其中一个Google+ People API中发现了一个漏洞:

  • 用户可以通过API向Google+应用授予对其个人资料数据及其朋友的公开个人资料信息的访问权限。

  • 该漏洞意味着应用程序还可以访问与用户共享但未标记为公共的个人资料字段。  

  • 此数据仅限于静态的可选Google+个人资料字段,包括姓名,电子邮件地址,职业,性别和年龄。(请参阅我们的开发者网站上的完整列表。)它包括您发布或连接到Google+或任何其他服务的任何其他数据,例如Google+信息,消息,Google帐户数据,电话号码或G Suite内容。

  • 我们在2018年3月发现并立即修补了此漏洞。我们认为,由于API与随后的Google+代码更改相互作用,它会在发布后发生。

由于Google+服务器不会将API日志保留两周以上,因此公司无法确认受此漏洞影响的用户数量。他们能够确定漏洞在两周内没有被滥用,因为他们有日志数据。

谷歌在5月份了解泄密事件,但没有透露

根据华尔街日报的一篇报道,2015年至2018年3月期间存在Google+ API中的漏洞,当时Google发现并修复了漏洞。根据他们的报道,谷歌的一个内部委员会决定不披露这个漏洞,即使他们没有100%确定它没有被滥用。

据华尔街日报报道,他们已经审查了谷歌 法律和政策工作人员准备的备忘录,该备忘录表明披露数据泄露可能导致政府监管机构的审查——当时Facebook遭到剑桥分析公司丑闻的抨击

尽管Google尚未透露安全漏洞的技术细节,但该漏洞的性质似乎与Facebook API漏洞非常相似,允许未经授权的开发人员访问Facebook用户的私人数据。

Google推出了针对第三方应用权限的新隐私控制措施

作为“ Project Strobe ”的一部分,Google工程师还审核了第三方开发者对Google帐户和Android设备数据的访问权限;并因此现在引入了一些新的隐私控制。

当第三方应用提示用户访问其Google帐户数据时,单击“允许”按钮即可立即批准所有请求的权限,从而阻挡恶意应用诱骗用户获得更大的权限。图片.png

现在Google已更新其帐户权限系统,该系统会单独询问每个请求的权限,而不是一次性请求所有权限,从而让用户可以更好地控制他们选择与每个应用分享的帐户数据类型。

由于API还允许开发人员访问用户极其敏感的数据,例如Gmail帐户,因此Google仅限于直接增强电子邮件功能的应用程序(例如电子邮件客户端,电子邮件备份服务和生产力服务)访问Gmail API。

数据泄露报告显示,谷歌股价下跌超过2%,至1134.23美元。

最新评论

昵称
邮箱
提交评论

友情链接:FOFA FOEYE BCSEC BAIMAOHUI 安全客 i春秋

nosec.org All Rights Reserved 京ICP备15042518号