1. 程式人生 > >一個新Bug洩露Google+5250萬用戶資訊

一個新Bug洩露Google+5250萬用戶資訊

10月,谷歌宣佈將於2019年8月關閉Google+,因為該公司通過內部審計(同時還被《華爾街日報》曝光)發現,Google+中的一個漏洞在大約三年的時間裡暴露了50萬用戶的資料。也許它應該更早一點被終止。

儘管面臨被終結的命運,但Google+在最後的運營時間段內再次暴露出了問題。週一,谷歌公開了Google+API中的另一個bug(11月7日軟體更新活動的一部分)暴露了來自5250萬個賬戶的使用者資料。谷歌發現了這個bug,並在11月13日之前進行了修補。這意味著,應用程式開發人員可能已經有六天的時間無法正常訪問使用者資料。谷歌表示,沒有證據表明這些資料在那段時間被濫用,也沒有證據表明Google+被第三方竊取。但該公司現在將Google+的終止日期提前到4月,並將在90天內切斷對Google+API的訪問。

“我們的測試顯示,Google+API未按預期執行。我們及時修復了該錯誤並開始調查此問題,”Google產品管理副總裁David Thacker 週一在部落格中寫道。“我們已經開始通知受此漏洞影響的消費者使用者和企業客戶。我們希望為使用者提供足夠的機會幫助消費者進行Google+過渡。”

這個bug暴露了使用者沒有公開的Google+個人資料資料,比如姓名、年齡、電子郵件地址和職業,以及使用者之間私下共享的一些本不應該被訪問的個人資料資料。該漏洞沒有暴露財務資料、密碼或任何其他識別符號,如社會保險號。一些暴露的資料與另一個影響了50萬用戶的Google+bug中存在風險的資訊重疊。但這兩種風險仍然不太一樣,不像企業在資料洩露後公佈受害者總數的估計值,然後在進行全面調查後再修正估計值。在谷歌宣佈這一訊息之際,該公司正面臨一系列隱私和資料管理方面的重大失誤。雖然公司對Google+洩露事件的反應迅速而徹底,但谷歌僅在今年一年就發生了不少隱私事件負面事件。

滲透測試和事件響應諮詢公司TrustedSec的執行長David Kennedy表示:“這不會影響密碼或財務資料,但它確實提供了提取電子郵件地址和個人資料等大量資訊的能力。”這些直接涉及到安全的問題,反映了開發世界的日新月異。儘管初始目標是更快地將程式碼和特性提供給客戶,但隨之而來的是暴露和引入類似內容的風險。

Kennedy還指出,谷歌的快速檢測值得肯定,因為這象徵著即使在Google+的最後時日,該公司仍在積極測試其安全性。谷歌會通知受影響的使用者有關暴露的資訊,如果使用者仍然使用該服務,可能除了將重要資料資訊從Google+中刪除之外,無需再進行其他措施。