據(jù)外媒報道,谷歌同名社交網(wǎng)絡 Google+ 因驚現(xiàn)漏洞將被關閉,該漏洞可能允許惡意開發(fā)者收集數(shù)億谷歌用戶的數(shù)據(jù)。

谷歌在一篇博客文章中說,作為 Project Strobe 的一部分,該公司在 2018 年 3 月發(fā)現(xiàn)了這個漏洞。Project Strobe 由 100 人組成,負責對允許訪問谷歌賬戶和 Android 設備數(shù)據(jù)的第三方開發(fā)工具進行全面審查。

嚴重安全漏洞被曝光!谷歌擬關閉旗下社交網(wǎng)絡Google+

谷歌宣稱,Google+ People API 允許用戶訪問自己和朋友的個人資料數(shù)據(jù),這無意中也允許第三方應用程序刪除未被標記為公開的個人資料,包括姓名、電子郵件地址、職業(yè)和性別等。

谷歌指出,這不包括發(fā)布或連接到 Google+ 或任何其他服務的數(shù)據(jù),例如消息、谷歌帳戶數(shù)據(jù)、G Suite 內(nèi)容或電話號碼。

《華爾街日報》看到的文件顯示,在 2015 年至 2018 年 3 月期間,谷歌內(nèi)部調(diào)查人員實施了一項修復措施,但此前這一漏洞始終未被發(fā)現(xiàn)。

谷歌表示,高達 50 萬個 Google+ 賬戶受到影響,多達 438 個應用程序可能使用了該 API。

不過谷歌堅持認為,該公司沒有發(fā)現(xiàn)開發(fā)人員知道或濫用安全漏洞的證據(jù),也沒有發(fā)現(xiàn)用戶資料文件數(shù)據(jù)被濫用。不過,谷歌承認自己無法確定這些問題,因為它對開發(fā)人員沒有“審計權限”,而且它只保留有限的活動日志。

谷歌在博文中寫道:“每年,我們都會向用戶發(fā)送數(shù)百萬條關于隱私、安全漏洞和其他問題的通知。每當用戶數(shù)據(jù)可能受到影響,在決定是否提供通知時,我們都會超越法律對我們的要求,采用有益于用戶的標準。”

谷歌繼續(xù)寫道:“我們的隱私和數(shù)據(jù)保護辦公室審查了這個問題,查看了涉及的數(shù)據(jù)類型,并探討了我們是否能夠準確地識別出需要告知的用戶,是否有任何濫用的證據(jù),以及開發(fā)人員或用戶是否可以采取任何應對措施等。在這次事件中,這些閾值都沒有達到。”

今天早上,谷歌高管內(nèi)部委員會——谷歌隱私和數(shù)據(jù)保護辦公室(包括谷歌首席執(zhí)行官桑達爾·皮查伊(Sundar Pichai))簡要介紹了其一項計劃,即不向用戶通報 Google+ 的漏洞,因為其擔心可能會引來審查,并造成名譽損害。

《華爾街日報》獲得的一份備忘錄稱:“這可能導致谷歌與 Facebook 一起(甚至取代 Facebook)成為聚光燈下的焦點,在劍橋分析公司(Cambridge Analytica)濫用數(shù)據(jù)丑聞期間,F(xiàn)acebook 始終處于人們的關注之下。如果漏洞曝光,幾乎可以肯定,皮查伊需要前往國會作證。”

公司律師建議谷歌稱,法律上沒有要求其向公眾披露這一事件。歐盟的《通用數(shù)據(jù)保護條例》(GDPR)規(guī)定,公司必須在 72 小時內(nèi)通知監(jiān)管機構存在違規(guī)行為,但由于這一漏洞是在 3 月份(GDPR 生效前兩個月)被發(fā)現(xiàn)的,因此該規(guī)定也不適用。

有鑒于此,谷歌隱私和數(shù)據(jù)保護辦公室決定,由于谷歌無法確定哪些開發(fā)人員可能獲得了數(shù)據(jù),所以公開披露這個漏洞不會給終端用戶帶來任何“效益”。

Google+ 將在 2019 年 8 月正式關閉,之前有 10 個月的停擺期。谷歌表示,這項服務目前的“用戶參與度很低”,90% 的 Google+ 用戶會話持續(xù)時間不到 5 秒。在這幾個月里,我們將看到為企業(yè)“量身定制”的新功能。

作為 Project Strobe 的一部分,谷歌今天宣布將推出一個流線型的權限管理視圖,用于谷歌帳戶的訪問提示。

此外,谷歌還對用戶 Gmail API 實施了更嚴格的 API 訪問策略,以限制可能尋求訪問電子郵件數(shù)據(jù)權限的應用程序。從現(xiàn)在開始,只有“直接增強”功能的應用程序,如電子郵件客戶端、備份服務和生產(chǎn)力服務才能獲得授權。

谷歌還表示,該公司將限制 Android 應用程序在 Android 設備上接收通話記錄和 SMS 權限的能力,并且不再通過 Android Contacts API 提供聯(lián)系人交互數(shù)據(jù)。

兩周前,有消息稱黑客利用“查看為”(View As)功能中的漏洞,接管了 5000 多萬個 Facebook 賬戶。幾個月前,政治咨詢公司劍橋分析公司以不恰當方式訪問了 8700 萬 Facebook 用戶的數(shù)據(jù)。