谷歌爆出用户数据安全漏洞
记者 来莎莎 发自上海
“不作恶”的谷歌又陷入隐私问题。Facebook风波尚未过去,谷歌又被曝泄露用户账户数据。
周一,谷歌母公司Alphabet宣布,将关闭旗下社交网站Google+的消费者版本。
这一决定主要缘于媒体对Google+安全漏洞的曝光。当天 早 些 时 候 ,有 报 道 称 , Google+的漏洞导致用户的数据可能泄露给外部开发者。
该安全漏洞从2015年就出现,谷歌在今年3月才发现并修复这一漏洞,但并未打算向外界披露。谷歌担心一旦披露漏洞会引起监管部门审查并导致公司声誉受损,可能面临比 Facebook更遭的处境。
受该消息影响,谷歌母公司Alphabet股价下跌1.02%,报收1155.92美元。
今年年初,谷歌设立了一个名为 Project Strobe 的隐私和安全审查项目,对第三方开发人员访问谷歌账户和Android 设备数据,以及围绕APP数据访问的理念进行了彻底的审查。
Google+ 漏洞导致用户账号泄露问题正是在此次评估时被发现的。
谷歌公司通过API(应用程序编程接口)向外部开发人员提供用户数据。这些工具通常需要获得用户许可才能访问任何信息,但是这可能被一些APP开发者滥用,以获取敏感数据的访问权限。
谷歌的调查发现,由于Google+ API的漏洞,开发人员可以收集Google+ 用户朋友的个人资料数据,即使这些数据在隐私设置中明确标记为非公开。
谷歌声明显示,有50万用户的姓名、邮箱、职业、性别、年龄等可能被泄露,约有438个应用访问了这些数据。但谷歌称,没有发现任何开发人员意识到这一漏洞或滥用API,也未发现任何配置文件数据被滥用。
谷歌工程副总裁本·史密斯(Ben Smith)在博客中称,在3月发现这一漏洞后,谷歌立即修复了该漏洞。
为何不向公众公布这一漏洞?本·史密斯称,谷歌的隐私和数据保护办公室审查了这个问题,查看了所涉及的数据类型,考虑了是否可以准确识别并通知用户,是否有任何滥用的证据,以及开发人员或用户是否可以采取任何行动以作出回应。评估后,谷歌认为无需通报此次漏洞事件。
不 过 ,他 也 承 认 要 让Google+成功运营面临重大挑战,考虑到Google+消费者版使用率非常低,谷歌决定关闭Google+消费者版,将在10个月内实施这一计划,并在明年8月底完成。
或许决定不通报这一事件的更重要原因是谷歌将面临监管和声誉问题。有消息指出,谷歌法律和政策工作人员编写的备忘录警告称,披露此事件可能会面临当局监管问题,并将该事件与Facebook泄露用户信息给数据公司Cambridge Analytica进行比较。
这并非谷歌今年首次碰到隐私问题。
此次漏洞事件曝光也进一步让谷歌面临困境。