Инцидент имел место на протяжении 6 дней в ноябре и была вызван багом в интерфейсе People API Google+, который позволяет приложениям и сервисам взаимодействовать с данными пользователей сети с их согласия.
В случае предоставления доступа приложениям, они могли получить доступ даже к приватной информации, которая не предназначалась для просмотра сторонними сервисами.
Без реального ущерба
Проблема нарушения конфиденциальности была обнаружена в рамках обычных процедур тестирования Google. Вице-президент по управлению продуктами G Suite, Дэвид Тэкер (David Thacker) рассказал, что ошибка возникла из-за обновления и была обнаружена и исправлена неделю спустя.
Тэкер подчеркивает, что нарушения конфиденциальности не стали результатом компрометации аккаунтов третьей стороной и что нет никаких доказательств того, что разработчики приложении знали о наличии ошибки и использовали ее в каких-либо сценариях.
Google поясняет, что разработчики приложений не могли просматривать финансовые данные, идентификационные номера, пароли или сведения, которые можно использовать для совершения мошенничества или кражи личных данных.
Отметим, что Google+ People API предоставляет доступ ко всем данным профиля, включая имя, адрес электронной почты, род занятий, возраст, навыки, пол, день рождения и др.
Закрытие Google+ перенесено на апрель
Мы уже писали, что корпорация Google объявила о намерении закрыть потребительскую версию социальной сети Google+ в августе 2019 года.
Однако из-за второго за несколько месяцев инцидента с багами API (первый баг был обнаружен в октябре), компания решила ускорить закрытие проекта - теперь оно намечено на апрель 2019 года, а Google+ API прекратят работу в течение последующих 90 дней.
У пользователей будет достаточно времени, чтобы перейти на другие платформы, но кто-то может не успеть. Чтобы избежать негативных последствий, Google продолжит активно распространять информацию о закрытии соцсети и предоставлять инструкции по безопасной миграции данных на другие платформы.
С апреля Google+ продолжит работу только для корпоративных пользователей в рамках сервиса G Suite.
По материалам Bleeping Computer
Угрозы безопасности
• Яндекс помог устранить уязвимость в движке V8 для браузеров на Chromium
• Apple выпустила исправления уязвимости «нулевого дня» для старых iPhone и iPad
• Новая вредоносная программа HybridPetya научилась обходить защиту UEFI Secure Boot
• В даркнете растёт рынок аренды аккаунтов мессенжера Max
• Apple предупреждает пользователей о целевых атаках шпионского ПО
• Новая уязвимость «нулевого дня» в роутерах TP-Link. CISA также предупреждает об активной эксплуатации других ошибок