10月,谷歌宣佈將於2019年8月關閉Google+,因爲該公司通過內部審計(同時還被《華爾街日報》曝光)發現,Google+中的一個漏洞在大約三年的時間裏暴露了50萬用戶的數據。也許它應該更早一點被終止。
儘管面臨被終結的命運,但Google+在最後的運營時間段內再次暴露出了問題。週一,谷歌公開了Google+API中的另一個bug(11月7日軟件更新活動的一部分)暴露了來自5250萬個賬戶的用戶數據。谷歌發現了這個bug,並在11月13日之前進行了修補。這意味着,應用程序開發人員可能已經有六天的時間無法正常訪問用戶數據。谷歌表示,沒有證據表明這些數據在那段時間被濫用,也沒有證據表明Google+被第三方竊取。但該公司現在將Google+的終止日期提前到4月,並將在90天內切斷對Google+API的訪問。
“我們的測試顯示,Google+API未按預期運行。我們及時修復了該錯誤並開始調查此問題,”Google產品管理副總裁David Thacker 週一在博客中寫道。“我們已經開始通知受此漏洞影響的消費者用戶和企業客戶。我們希望爲用戶提供足夠的機會幫助消費者進行Google+過渡。”
這個bug暴露了用戶沒有公開的Google+個人資料數據,比如姓名、年齡、電子郵件地址和職業,以及用戶之間私下共享的一些本不應該被訪問的個人資料數據。該漏洞沒有暴露財務數據、密碼或任何其他標識符,如社會保險號。一些暴露的數據與另一個影響了50萬用戶的Google+bug中存在風險的信息重疊。但這兩種風險仍然不太一樣,不像企業在數據泄露後公佈受害者總數的估計值,然後在進行全面調查後再修正估計值。在谷歌宣佈這一消息之際,該公司正面臨一系列隱私和數據管理方面的重大失誤。雖然公司對Google+泄露事件的反應迅速而徹底,但谷歌僅在今年一年就發生了不少隱私事件負面事件。
***測試和事件響應諮詢公司TrustedSec的首席執行官David Kennedy表示:“這不會影響密碼或財務數據,但它確實提供了提取電子郵件地址和個人資料等大量信息的能力。”這些直接涉及到安全的問題,反映了開發世界的日新月異。儘管初始目標是更快地將代碼和特性提供給客戶,但隨之而來的是暴露和引入類似內容的風險。
Kennedy還指出,谷歌的快速檢測值得肯定,因爲這象徵着即使在Google+的最後時日,該公司仍在積極測試其安全性。谷歌會通知受影響的用戶有關暴露的信息,如果用戶仍然使用該服務,可能除了將重要數據信息從Google+中刪除之外,無需再進行其他措施。