10月9日消息��,據(jù)外媒報(bào)道�����,谷歌同名社交網(wǎng)絡(luò)Google+因驚現(xiàn)漏洞將被關(guān)閉�,該漏洞可能允許惡意開(kāi)發(fā)者收集數(shù)億谷歌用戶的數(shù)據(jù)。
谷歌在一篇博客文章中說(shuō)����,作為Project Strobe的一部分�����,該公司在2018年3月發(fā)現(xiàn)了這個(gè)漏洞。Project Strobe由100人組成,負(fù)責(zé)對(duì)允許訪問(wèn)谷歌賬戶和Android設(shè)備數(shù)據(jù)的第三方開(kāi)發(fā)工具進(jìn)行全面審查�。
谷歌宣稱��,Google+ People API允許用戶訪問(wèn)自己和朋友的個(gè)人資料數(shù)據(jù),這無(wú)意中也允許第三方應(yīng)用程序刪除未被標(biāo)記為公開(kāi)的個(gè)人資料����,包括姓名����、電子郵件地址����、職業(yè)和性別等�����。
谷歌指出,這不包括發(fā)布或連接到Google+或任何其他服務(wù)的數(shù)據(jù)�,例如消息、谷歌帳戶數(shù)據(jù)���、G Suite內(nèi)容或電話號(hào)碼���。
《華爾街日?qǐng)?bào)》看到的文件顯示,在2015年至2018年3月期間����,谷歌內(nèi)部調(diào)查人員實(shí)施了一項(xiàng)修復(fù)措施��,但此前這一漏洞始終未被發(fā)現(xiàn)。
谷歌表示���,高達(dá)50萬(wàn)個(gè)Google+賬戶受到影響�����,多達(dá)438個(gè)應(yīng)用程序可能使用了該API�。
不過(guò)谷歌堅(jiān)持認(rèn)為,該公司沒(méi)有發(fā)現(xiàn)開(kāi)發(fā)人員知道或?yàn)E用安全漏洞的證據(jù)����,也沒(méi)有發(fā)現(xiàn)用戶資料文件數(shù)據(jù)被濫用。不過(guò)�,谷歌承認(rèn)自己無(wú)法確定這些問(wèn)題,因?yàn)樗鼘?duì)開(kāi)發(fā)人員沒(méi)有“審計(jì)權(quán)限”��,而且它只保留有限的活動(dòng)日志���。
谷歌在博文中寫道:“每年�,我們都會(huì)向用戶發(fā)送數(shù)百萬(wàn)條關(guān)于隱私�、安全漏洞和其他問(wèn)題的通知��。每當(dāng)用戶數(shù)據(jù)可能受到影響,在決定是否提供通知時(shí)�,我們都會(huì)超越法律對(duì)我們的要求,采用有益于用戶的標(biāo)準(zhǔn)����。”
谷歌繼續(xù)寫道:“我們的隱私和數(shù)據(jù)保護(hù)辦公室審查了這個(gè)問(wèn)題,查看了涉及的數(shù)據(jù)類型��,并探討了我們是否能夠準(zhǔn)確地識(shí)別出需要告知的用戶�,是否有任何濫用的證據(jù)���,以及開(kāi)發(fā)人員或用戶是否可以采取任何應(yīng)對(duì)措施等。在這次事件中���,這些閾值都沒(méi)有達(dá)到����。”
今天早上�����,谷歌高管內(nèi)部委員會(huì)——谷歌隱私和數(shù)據(jù)保護(hù)辦公室(包括谷歌首席執(zhí)行官桑達(dá)爾·皮查伊(Sundar Pichai))簡(jiǎn)要介紹了其一項(xiàng)計(jì)劃,即不向用戶通報(bào)Google+的漏洞�����,因?yàn)槠鋼?dān)心可能會(huì)引來(lái)審查����,并造成名譽(yù)損害。
《華爾街日?qǐng)?bào)》獲得的一份備忘錄稱:“這可能導(dǎo)致谷歌與Facebook一起(甚至取代Facebook)成為聚光燈下的焦點(diǎn)���,在劍橋分析公司(Cambridge Analytica)濫用數(shù)據(jù)丑聞期間���,F(xiàn)acebook始終處于人們的關(guān)注之下��。如果漏洞曝光����,幾乎可以肯定,皮查伊需要前往國(guó)會(huì)作證�。”
公司律師建議谷歌稱,法律上沒(méi)有要求其向公眾披露這一事件��。歐盟的《通用數(shù)據(jù)保護(hù)條例》(GDPR)規(guī)定,公司必須在72小時(shí)內(nèi)通知監(jiān)管機(jī)構(gòu)存在違規(guī)行為�����,但由于這一漏洞是在3月份(GDPR生效前兩個(gè)月)被發(fā)現(xiàn)的�,因此該規(guī)定也不適用。
有鑒于此��,谷歌隱私和數(shù)據(jù)保護(hù)辦公室決定����,由于谷歌無(wú)法確定哪些開(kāi)發(fā)人員可能獲得了數(shù)據(jù),所以公開(kāi)披露這個(gè)漏洞不會(huì)給終端用戶帶來(lái)任何“效益”�����。
Google+將在2019年8月正式關(guān)閉���,之前有10個(gè)月的停擺期�����。谷歌表示�,這項(xiàng)服務(wù)目前的“用戶參與度很低”����,90%的Google+用戶會(huì)話持續(xù)時(shí)間不到5秒�����。在這幾個(gè)月里�,我們將看到為企業(yè)“量身定制”的新功能����。
作為Project Strobe的一部分,谷歌今天宣布將推出一個(gè)流線型的權(quán)限管理視圖�,用于谷歌帳戶的訪問(wèn)提示。
此外����,谷歌還對(duì)用戶Gmail API實(shí)施了更嚴(yán)格的API訪問(wèn)策略,以限制可能尋求訪問(wèn)電子郵件數(shù)據(jù)權(quán)限的應(yīng)用程序���。從現(xiàn)在開(kāi)始,只有“直接增強(qiáng)”功能的應(yīng)用程序��,如電子郵件客戶端����、備份服務(wù)和生產(chǎn)力服務(wù)才能獲得授權(quán)����。
谷歌還表示�����,該公司將限制Android應(yīng)用程序在Android設(shè)備上接收通話記錄和SMS權(quán)限的能力����,并且不再通過(guò)Android Contacts API提供聯(lián)系人交互數(shù)據(jù)。
兩周前����,有消息稱黑客利用“查看為”(View As)功能中的漏洞,接管了5000多萬(wàn)個(gè)Facebook賬戶�。幾個(gè)月前,政治咨詢公司劍橋分析公司以不恰當(dāng)方式訪問(wèn)了8700萬(wàn)Facebook用戶的數(shù)據(jù)�。
鄂公網(wǎng)安備 42112402000149號(hào)