新的API漏洞会造成5250万用户信息泄露,Google+将提早下架
据报道,Google+软件更新导致People API会泄露5250万用户数据隐私,迫使google将Google+关闭时间从2019年8月提早到2019年4月。不过Google表示该漏洞还并未被利用,用户隐私暂时没发现被窃取
谷歌今天透露,谷歌遭遇了另一次大规模的数据泄露,迫使这家技术巨头提前四个月关闭其陷入困境的社交网络(即2019年4月,而不是2019年8月。)
谷歌表示,发现了一个关于Google +的People API的严重漏洞,允许开发人员窃取5250万用户的私人信息,包括他们的姓名、电子邮件地址、职业和年龄。
有问题的易受攻击的API称为“People:get”,这个API可让开发人员请求与用户配置文件关联的基本信息。
但是,11月份的软件更新引入了Google+ People API中的bug,该bug允许应用查看用户的信息,即使用户个人资料设置为非公开。
Google工程师在标准测试过程中发现了安全问题,并在问题出现后的一周内解决了这个问题。
该公司表示,没有发现漏洞被利用或其用户数据被任何第三方应用开发者误用的迹象。
“任何第三方都没有破坏我们的系统,而且我们没有证据表明应用程序开发人员在六天内拥有此访问权限,或者以任何方式滥用它”,Google表示。
Google还向其用户保证,此API bug不会泄露密码、财务数据、国家识别码和任何其他敏感数据。
差不多两个月前,谷歌披露了大规模的数据泄露事件,超过50万的Google+用户的私人数据被第三方窃取。并且还宣布由于google +未被大众喜爱,拥有的市场很小,在2019年8月底之前会关闭Google+。
“我们的评论显示,Google+更适合作为企业产品,员工可以在安全的企业社交网络上进行内部讨论,”Google在10月份表示。
然而,在又发生一起安全事件之后,谷歌表示该公司将在2019年4月关闭其社交媒体网络,而不再是2019年8月。
关于作者
评论2次
看起来有点类似于webservice的调用或者api鉴权过程的未授权访问?
「Google工程师在标准测试过程中发现了安全问题,并在问题出现后的一周内解决了这个问题。」 上线之前的「标准测试」呢? 两个标准不一样?