在遭遇第二个API漏洞后,谷歌宣布提前4个月关闭Google+消费者版本
source link: https://www.sdnlab.com/22801.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
谷歌今天宣布了Google+ API中的第二个漏洞,这个漏洞可能会被滥用来窃取近5250万用户的私人数据。
根据谷歌发言人的说法,这个漏洞是在内部测试之后被发现的,并没有被任何第三方利用,至少根据目前的证据是这样的。
在发现这个新的API bug之后,谷歌还决定将消费者版本Google+的关闭日期从2019年8月改为2019年4月。
谷歌此前曾宣布计划关闭Google+社交网络的消费者版本,因为该公司在10月发现了一个API漏洞,暴露了50多万用户的个人资料细节。
根据谷歌发布的一份事件报告,第二个bug位于Google+ People API端点,应用程序和开发人员用它来获取用户配置信息。
谷歌表示,该漏洞允许应用程序(被授予查看Google+个人资料数据的权限)错误地获得查看被用户设置为“非公开”的个人资料信息的权限。
攻击者可以访问的配置文件数据包括姓名、电子邮件、职业、年龄、技能、生日、昵称等信息。此外,新漏洞还会导致合作伙伴应用能够访问用户的个人数据。
谷歌补充说,更敏感的Google+数据,如财务信息、身份证号码或密码不会受到影响。
谷歌表示,这个漏洞是在11月份的一次平台更新中引入的,在工程师发现该问题之前,它只运行了6天。
谷歌现在正在通知受此问题影响的用户。“我们正在调查其他Google+ API的潜在影响,”Google表示。
除了将Google+关闭日期提前四个月,Google还表示,将在90天内关闭Google+消费者版本的所有Google+ API。
谷歌将在2019年4月以后继续通过该公司的G Suite服务提供Google+企业服务。许多公司已经采用了Google+点播平台作为内部网或Slack的替代方案。
原文链接:https://www.zdnet.com/article/google-hit-by-second-api-bug-impacting-52-5-million-users/
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK