据外媒报道,谷歌同名社交网络 Google+ 因惊现漏洞将被关闭,该漏洞可能允许恶意开发者收集数亿谷歌用户的数据。
谷歌在一篇博客文章中说,作为 Project Strobe 的一部分,该公司在 2018 年 3 月发现了这个漏洞。Project Strobe 由 100 人组成,负责对允许访问谷歌账户和 Android 设备数据的第三方开发工具进行全面审查。
谷歌宣称,Google+ People API 允许用户访问自己和朋友的个人资料数据,这无意中也允许第三方应用程序删除未被标记为公开的个人资料,包括姓名、电子邮件地址、职业和性别等。
谷歌指出,这不包括发布或连接到 Google+ 或任何其他服务的数据,例如消息、谷歌帐户数据、G Suite 内容或电话号码。
《华尔街日报》看到的文件显示,在 2015 年至 2018 年 3 月期间,谷歌内部调查人员实施了一项修复措施,但此前这一漏洞始终未被发现。
谷歌表示,高达 50 万个 Google+ 账户受到影响,多达 438 个应用程序可能使用了该 API。
不过谷歌坚持认为,该公司没有发现开发人员知道或滥用安全漏洞的证据,也没有发现用户资料文件数据被滥用。不过,谷歌承认自己无法确定这些问题,因为它对开发人员没有“审计权限”,而且它只保留有限的活动日志。
谷歌在博文中写道:“每年,我们都会向用户发送数百万条关于隐私、安全漏洞和其他问题的通知。每当用户数据可能受到影响,在决定是否提供通知时,我们都会超越法律对我们的要求,采用有益于用户的标准。”
谷歌继续写道:“我们的隐私和数据保护办公室审查了这个问题,查看了涉及的数据类型,并探讨了我们是否能够准确地识别出需要告知的用户,是否有任何滥用的证据,以及开发人员或用户是否可以采取任何应对措施等。在这次事件中,这些阈值都没有达到。”
今天早上,谷歌高管内部委员会——谷歌隐私和数据保护办公室(包括谷歌首席执行官桑达尔·皮查伊(Sundar Pichai))简要介绍了其一项计划,即不向用户通报 Google+ 的漏洞,因为其担心可能会引来审查,并造成名誉损害。
《华尔街日报》获得的一份备忘录称:“这可能导致谷歌与 Facebook 一起(甚至取代 Facebook)成为聚光灯下的焦点,在剑桥分析公司(Cambridge Analytica)滥用数据丑闻期间,Facebook 始终处于人们的关注之下。如果漏洞曝光,几乎可以肯定,皮查伊需要前往国会作证。”
公司律师建议谷歌称,法律上没有要求其向公众披露这一事件。欧盟的《通用数据保护条例》(GDPR)规定,公司必须在 72 小时内通知监管机构存在违规行为,但由于这一漏洞是在 3 月份(GDPR 生效前两个月)被发现的,因此该规定也不适用。
有鉴于此,谷歌隐私和数据保护办公室决定,由于谷歌无法确定哪些开发人员可能获得了数据,所以公开披露这个漏洞不会给终端用户带来任何“效益”。
Google+ 将在 2019 年 8 月正式关闭,之前有 10 个月的停摆期。谷歌表示,这项服务目前的“用户参与度很低”,90% 的 Google+ 用户会话持续时间不到 5 秒。在这几个月里,我们将看到为企业“量身定制”的新功能。
作为 Project Strobe 的一部分,谷歌今天宣布将推出一个流线型的权限管理视图,用于谷歌帐户的访问提示。
此外,谷歌还对用户 Gmail API 实施了更严格的 API 访问策略,以限制可能寻求访问电子邮件数据权限的应用程序。从现在开始,只有“直接增强”功能的应用程序,如电子邮件客户端、备份服务和生产力服务才能获得授权。
谷歌还表示,该公司将限制 Android 应用程序在 Android 设备上接收通话记录和 SMS 权限的能力,并且不再通过 Android Contacts API 提供联系人交互数据。
两周前,有消息称黑客利用“查看为”(View As)功能中的漏洞,接管了 5000 多万个 Facebook 账户。几个月前,政治咨询公司剑桥分析公司以不恰当方式访问了 8700 万 Facebook 用户的数据。
