Инцидент имел место на протяжении 6 дней в ноябре и была вызван багом в интерфейсе People API Google+, который позволяет приложениям и сервисам взаимодействовать с данными пользователей сети с их согласия.
В случае предоставления доступа приложениям, они могли получить доступ даже к приватной информации, которая не предназначалась для просмотра сторонними сервисами.
Без реального ущерба
Проблема нарушения конфиденциальности была обнаружена в рамках обычных процедур тестирования Google. Вице-президент по управлению продуктами G Suite, Дэвид Тэкер (David Thacker) рассказал, что ошибка возникла из-за обновления и была обнаружена и исправлена неделю спустя.
Тэкер подчеркивает, что нарушения конфиденциальности не стали результатом компрометации аккаунтов третьей стороной и что нет никаких доказательств того, что разработчики приложении знали о наличии ошибки и использовали ее в каких-либо сценариях.
Google поясняет, что разработчики приложений не могли просматривать финансовые данные, идентификационные номера, пароли или сведения, которые можно использовать для совершения мошенничества или кражи личных данных.
Отметим, что Google+ People API предоставляет доступ ко всем данным профиля, включая имя, адрес электронной почты, род занятий, возраст, навыки, пол, день рождения и др.
Закрытие Google+ перенесено на апрель
Мы уже писали, что корпорация Google объявила о намерении закрыть потребительскую версию социальной сети Google+ в августе 2019 года.
Однако из-за второго за несколько месяцев инцидента с багами API (первый баг был обнаружен в октябре), компания решила ускорить закрытие проекта - теперь оно намечено на апрель 2019 года, а Google+ API прекратят работу в течение последующих 90 дней.
У пользователей будет достаточно времени, чтобы перейти на другие платформы, но кто-то может не успеть. Чтобы избежать негативных последствий, Google продолжит активно распространять информацию о закрытии соцсети и предоставлять инструкции по безопасной миграции данных на другие платформы.
С апреля Google+ продолжит работу только для корпоративных пользователей в рамках сервиса G Suite.
По материалам Bleeping Computer
Угрозы безопасности
• Apple устранила более 50 уязвимостей в свежих обновлениях iOS, iPadOS и macOS
• Вирус Triada на поддельных смартфонах крадёт Telegram-аккаунты и криптовалюту
• Атака «Фишинг как услуга» использует DNS-over-HTTPS для обхода обнаружения
• Mozilla предупреждает о критической уязвимости обхода песочницы в Firefox для Windows
• Популярные расширения Chrome взломали. Как защитить себя?
• Keenetic подтвердила взлом приложения для управления роутерами: Утекли данные более миллиона пользователей, большинство – из России