10月9日消息��,據(jù)外媒報道��,谷歌同名社交網(wǎng)絡(luò)Google+因驚現(xiàn)漏洞將被關(guān)閉,該漏洞可能允許惡意開發(fā)者收集數(shù)億谷歌用戶的數(shù)據(jù)��。
谷歌在一篇博客文章中說�����,作為Project Strobe的一部分,該公司在2018年3月發(fā)現(xiàn)了這個漏洞�����。Project Strobe由100人組成���,負責對允許訪問谷歌賬戶和Android設(shè)備數(shù)據(jù)的第三方開發(fā)工具進行全面審查���。
谷歌宣稱,Google+ People API允許用戶訪問自己和朋友的個人資料數(shù)據(jù)��,這無意中也允許第三方應(yīng)用程序刪除未被標記為公開的個人資料���,包括姓名、電子郵件地址����、職業(yè)和性別等。
谷歌指出��,這不包括發(fā)布或連接到Google+或任何其他服務(wù)的數(shù)據(jù)���,例如消息��、谷歌帳戶數(shù)據(jù)�����、G Suite內(nèi)容或電話號碼����。
《華爾街日報》看到的文件顯示,在2015年至2018年3月期間�,谷歌內(nèi)部調(diào)查人員實施了一項修復(fù)措施,但此前這一漏洞始終未被發(fā)現(xiàn)�����。
谷歌表示��,高達50萬個Google+賬戶受到影響���,多達438個應(yīng)用程序可能使用了該API���。
不過谷歌堅持認為,該公司沒有發(fā)現(xiàn)開發(fā)人員知道或濫用安全漏洞的證據(jù)�,也沒有發(fā)現(xiàn)用戶資料文件數(shù)據(jù)被濫用。不過�����,谷歌承認自己無法確定這些問題,因為它對開發(fā)人員沒有“審計權(quán)限”��,而且它只保留有限的活動日志�����。
谷歌在博文中寫道:“每年����,我們都會向用戶發(fā)送數(shù)百萬條關(guān)于隱私、安全漏洞和其他問題的通知���。每當用戶數(shù)據(jù)可能受到影響����,在決定是否提供通知時��,我們都會超越法律對我們的要求��,采用有益于用戶的標準�。”
谷歌繼續(xù)寫道:“我們的隱私和數(shù)據(jù)保護辦公室審查了這個問題�����,查看了涉及的數(shù)據(jù)類型,并探討了我們是否能夠準確地識別出需要告知的用戶���,是否有任何濫用的證據(jù)����,以及開發(fā)人員或用戶是否可以采取任何應(yīng)對措施等���。在這次事件中����,這些閾值都沒有達到���。”
今天早上�,谷歌高管內(nèi)部委員會——谷歌隱私和數(shù)據(jù)保護辦公室(包括谷歌首席執(zhí)行官桑達爾·皮查伊(Sundar Pichai))簡要介紹了其一項計劃�����,即不向用戶通報Google+的漏洞��,因為其擔心可能會引來審查���,并造成名譽損害����。
《華爾街日報》獲得的一份備忘錄稱:“這可能導(dǎo)致谷歌與Facebook一起(甚至取代Facebook)成為聚光燈下的焦點,在劍橋分析公司(Cambridge Analytica)濫用數(shù)據(jù)丑聞期間�,F(xiàn)acebook始終處于人們的關(guān)注之下。如果漏洞曝光����,幾乎可以肯定,皮查伊需要前往國會作證�����。”
公司律師建議谷歌稱����,法律上沒有要求其向公眾披露這一事件。歐盟的《通用數(shù)據(jù)保護條例》(GDPR)規(guī)定�,公司必須在72小時內(nèi)通知監(jiān)管機構(gòu)存在違規(guī)行為,但由于這一漏洞是在3月份(GDPR生效前兩個月)被發(fā)現(xiàn)的�����,因此該規(guī)定也不適用����。
有鑒于此,谷歌隱私和數(shù)據(jù)保護辦公室決定�,由于谷歌無法確定哪些開發(fā)人員可能獲得了數(shù)據(jù),所以公開披露這個漏洞不會給終端用戶帶來任何“效益”�。
Google+將在2019年8月正式關(guān)閉,之前有10個月的停擺期�����。谷歌表示��,這項服務(wù)目前的“用戶參與度很低”���,90%的Google+用戶會話持續(xù)時間不到5秒�。在這幾個月里�,我們將看到為企業(yè)“量身定制”的新功能。
作為Project Strobe的一部分��,谷歌今天宣布將推出一個流線型的權(quán)限管理視圖���,用于谷歌帳戶的訪問提示���。
此外����,谷歌還對用戶Gmail API實施了更嚴格的API訪問策略���,以限制可能尋求訪問電子郵件數(shù)據(jù)權(quán)限的應(yīng)用程序�����。從現(xiàn)在開始���,只有“直接增強”功能的應(yīng)用程序,如電子郵件客戶端���、備份服務(wù)和生產(chǎn)力服務(wù)才能獲得授權(quán)����。
谷歌還表示�,該公司將限制Android應(yīng)用程序在Android設(shè)備上接收通話記錄和SMS權(quán)限的能力,并且不再通過Android Contacts API提供聯(lián)系人交互數(shù)據(jù)�����。
兩周前,有消息稱黑客利用“查看為”(View As)功能中的漏洞�,接管了5000多萬個Facebook賬戶。幾個月前�����,政治咨詢公司劍橋分析公司以不恰當方式訪問了8700萬Facebook用戶的數(shù)據(jù)���。
鄂公網(wǎng)安備 42112402000149號