Google+關(guān)閉了,你知道它是如何泄露50萬用戶數(shù)據(jù)的嗎?
近日谷歌把Google+消費者版關(guān)閉。據(jù)悉,谷歌之所以關(guān)閉Google+,是因為之前Google+泄露了幾十萬的用戶數(shù)據(jù),為了避免被調(diào)查帶來的麻煩,谷歌直接關(guān)閉了這項業(yè)務(wù)。
《華爾街日報》援引自知情人士和相關(guān)文件報道稱,這數(shù)十萬用戶的個人數(shù)據(jù)在今年春天遭到泄露,但由于擔(dān)心招致監(jiān)管、審查并導(dǎo)致聲譽受損,谷歌選擇了推遲披露這一問題。
那么這數(shù)十萬名用戶的數(shù)據(jù)是如何泄露的?《華爾街日報》在報道中貼出了一張示意圖,揭示了數(shù)據(jù)泄露的整個過程。
根據(jù)示意圖,整個過程大致如下:
用戶A注冊Google+并填寫個人檔案(名字、雇主、職位、性別、生日和關(guān)系狀態(tài)等)
用戶A在隱私設(shè)定中將檔案數(shù)據(jù)設(shè)置為對特定Google+用戶群可見,其中包括用戶B
用戶B登入了某個可以使用Google+憑據(jù)登錄的應(yīng)用,并給予了該應(yīng)用訪問檔案信息的權(quán)限
上述應(yīng)用收集了用戶B的數(shù)據(jù)。由于軟件故障的存在,開發(fā)者同時也能收集用戶A的檔案數(shù)據(jù)
谷歌發(fā)現(xiàn)并于2018年3月修復(fù)了漏洞,未發(fā)現(xiàn)數(shù)據(jù)遭到濫用的證據(jù)
據(jù)稱,谷歌通過130多種不同的公共渠道(或者說是API)向外部開發(fā)人員提供用戶數(shù)據(jù)。通常,這些工具通常經(jīng)過用戶的許可才能訪問信息,但是也可以被冒充成App開發(fā)者的攻擊者濫用,為后者獲取敏感個人數(shù)據(jù)訪問權(quán)限。
谷歌此前也于此事做出了回應(yīng),稱未發(fā)現(xiàn)任何開發(fā)人員知道此Bug或濫用API的證據(jù),也沒有發(fā)現(xiàn)證據(jù)表明任何配置文件數(shù)據(jù)遭濫用。本周四,美國參議院三位有影響力的共和黨參議員提出,谷歌應(yīng)該解釋為何推遲公布Google+社交網(wǎng)絡(luò)的漏洞。
小編認(rèn)為,谷歌這么做有點不負(fù)責(zé)任,發(fā)現(xiàn)了漏洞竟然隱瞞不報。對于此,大家怎么看?