天创培训:您身边的信息安全培训专家!
行业动态
Google+ API中的漏洞可导致超5000万用户数据泄露

今年10月份,谷歌对外界宣布称其Google+服务将于2019年8月全面关闭,因为该公司通过内部审查(以及华尔街日报的曝光)发现,Google+中的一个漏洞导致三年时间内50万用户的信息遭到暴露。但事情并没有就此止步,本周一谷歌又发表声明称,Google+ API中的另一个漏洞(11月7日软件更新的一部分)暴露了5250万个账户的用户信息。
谷歌表示已在11月13日对该漏洞进行了修正。不过这也意味着,应用程序开发人员可能已经有六天时间无法正常访问用户数据。虽然谷歌同时声明当前没有证据能够表明这些数据在该段时间被滥用,也没有证据表明Google+遭到第三方泄露,但该公司现在却将Google+的截止日期提前到次年4月,并将在90天内切断对Google+ api的访问。
Google产品管理副总裁David Thacker周一在博客文章中写道,
经测试显示,Google+ API未按预期运行。我们已及时修复了该漏洞并开始调查此问题,并通知了受此漏洞影响的消费者和企业客户。我们希望为用户提供充分的时机来让其过渡。
这个漏洞暴露了用户一些较为私密的Google+个人资料数据,比如姓名、年龄、电子邮件地址、职业,以及用户之间私下共享的一些的个人信息。但该漏洞没有暴露如社会保险号之类财务数据和密码信息。一些暴露的数据与另一个影响了50万用户的Google+漏洞暴露的信息是重叠的。
渗透测试和事件响应咨询公司TrustedSec的首席执行官David Kennedy表示:
此次事件不会影响到用户的密码或财务数据,但它确实提供了邮件地址和个人资料等大量信息。此次事件反映了当今世界为了追求效率,力求能更快的将代码和特性提供给客户,但随之而来的是愈发增长的泄露风险。
Kennedy还指出谷歌的应急速度是值得肯定的,这意味着该公司即使在最后几天仍在积极测试Google+上的安全性。当前,谷歌正在向受影响的用户通报影响程度,如果您仍在使用该Google+,可能除了将其删除之外,您也不需要做出什么回应动作了。