10月,谷歌宣布将于2019年8月关闭Google+,因为该公司通过内部审计(同时还被《华尔街日报》曝光)发现,Google+中的一个漏洞在大约三年的时间里暴露了50万用户的数据。也许它应该更早一点被终止。
尽管面临被终结的命运,但Google+在最后的运营时间段内再次暴露出了问题。周一,谷歌公开了Google+API中的另一个bug(11月7日软件更新活动的一部分)暴露了来自5250万个账户的用户数据。谷歌发现了这个bug,并在11月13日之前进行了修补。这意味着,应用程序开发人员可能已经有六天的时间无法正常访问用户数据。谷歌表示,没有证据表明这些数据在那段时间被滥用,也没有证据表明Google+被第三方窃取。但该公司现在将Google+的终止日期提前到4月,并将在90天内切断对Google+API的访问。
“我们的测试显示,Google+API未按预期运行。我们及时修复了该错误并开始调查此问题,”Google产品管理副总裁David Thacker 周一在博客中写道。“我们已经开始通知受此漏洞影响的消费者用户和企业客户。我们希望为用户提供足够的机会帮助消费者进行Google+过渡。”
这个bug暴露了用户没有公开的Google+个人资料数据,比如姓名、年龄、电子邮件地址和职业,以及用户之间私下共享的一些本不应该被访问的个人资料数据。该漏洞没有暴露财务数据、密码或任何其他标识符,如社会保险号。一些暴露的数据与另一个影响了50万用户的Google+bug中存在风险的信息重叠。但这两种风险仍然不太一样,不像企业在数据泄露后公布受害者总数的估计值,然后在进行全面调查后再修正估计值。在谷歌宣布这一消息之际,该公司正面临一系列隐私和数据管理方面的重大失误。虽然公司对Google+泄露事件的反应迅速而彻底,但谷歌仅在今年一年就发生了不少隐私事件负面事件。
渗透测试和事件响应咨询公司TrustedSec的首席执行官David Kennedy表示:“这不会影响密码或财务数据,但它确实提供了提取电子邮件地址和个人资料等大量信息的能力。”这些直接涉及到安全的问题,反映了开发世界的日新月异。尽管初始目标是更快地将代码和特性提供给客户,但随之而来的是暴露和引入类似内容的风险。
Kennedy还指出,谷歌的快速检测值得肯定,因为这象征着即使在Google+的最后时日,该公司仍在积极测试其安全性。谷歌会通知受影响的用户有关暴露的信息,如果用户仍然使用该服务,可能除了将重要数据信息从Google+中删除之外,无需再进行其他措施。