据《华尔街日报》报道,谷歌的同名社交网站Google+正在被关停,因为网站漏洞可能会让恶意开发者团队收集数亿用户的数据。
今天早上出版的一份重磅报告称,Google的隐私和数据保护办公室(Privacy and Data Protection Office)是谷歌高管的内部委员会,其中成员包括谷歌首席执行官Sundar Pichai,该委员会坦陈,他们并不打算向用户披露Google+的漏洞,因为该漏洞可能“使网站受到审查”和“损害网站的信誉”。
“尽管谷歌在英国分析公司Cambridge Analytica丑闻中一直备受关注,但(谷歌)会更加引起人们的注意,甚至比Facebook遇到的问题还要严重,”《华尔街日报》获得的一份备忘录称,“基本能够确定Sundar会在国会上作证。”
公司律师表示,谷歌并未依法向公众披露此次事件。(欧盟的《通用数据保护条例》规定公司在发生泄露事件的72小时之内通知监管机构,但是由于这一漏洞是在今年3月份被发现的,即《通用数据保护条例》生效的前两个月,因此谷歌这次事件不受该条例的约束。)律师团认为,由于谷歌无法确认哪些开发者获得了数据,因此向公众公开这次事件并不会给终端用户带来实际的好处。
谷歌在博客中表示,他们在2018年3月份发现了这一漏洞,作为Project Strobe项目的一部分。在该项目中,由100人组成的团队负责对第三方开发者工具进行全面审查,因为这些工具允许访问谷歌账户和Android设备的数据。
注:今年年初,谷歌设立Project Strobe隐私和安全审查项目,目的是审查第三方开发人员访问谷歌帐户和Android设备数据的权限,并对APP的访问数据记录进行了彻底的审查。Google+漏洞所导致的用户账户泄露问题正是在此次评估时被发现的。
根据Mountain View公司的说法,Google+ People API允许用户授权访问他们和朋友的个人资料数据,并且也会无意中允许第三方应用程序获取未被标记为公开的数据,包括姓名、电子邮件地址、职业和性别。(谷歌注意到这些数据不包括发布或者连接到Google+或任何其它服务的数据,如短信、谷歌账户数据、G Suite内容或者电话号码。)
根据《华尔街日报》的评论文件,在2015年至2018年3月份,内部调查人员实施了一次修复措施,但是仍然未发现这一漏洞。
在此次事件中,多达500,000个Google+帐户受到影响,并且使用该API的应用可能多达438个。谷歌坚称,他们没有发现开发人员滥用安全漏洞的证据,或者说个人资料被滥用。但是,他们也无法确定数据的非法用途,因为他们对开发人员并没有“审查权”,而且只保留了一些有限的活动日志。
“我们每年都会向用户发送数百万条有关隐私和安全漏洞和问题的通知。每当用户数据受到影响时,我们就会按照法律要求,并使用多个标准来决定是否向用户发送通知,”Google写道:“我们的隐私和数据保护办公室审查了这个问题,查看了所涉及的数据类型,我们是否可以准确地识别用户并通知他们、是否存在任何滥用数据的证据、以及开发人员或用户是否可以采取相应的措施。但是在这种情况下,我们都没有实现这些要求。
“在10个月的休整期后,Google+将于2019年8月正式关闭。(谷歌称网站目前的“用户参与度较低”,而且90%的Google+用户会话持续时间不到5秒。)在休整期间期间,Google+会推出专门供企业使用的新功能。
作为Project Strobe的一部分,Google今天宣布推出一款简化的Google帐户访问提示权限管理视图。它还为用户Gmail API实施更严格的API访问策略,以限制可能寻求访问电子邮件数据权限的应用;从现在开始,只有具备“直接增强”功能的应用程序(如电子邮件客户端、备份服务和生产力服务)才能获得授权。此外,谷歌表示,这将限制Android应用程序在Android设备上获取通话记录和短信权限的能力,并且它将不再通过Android Contacts API提供联系人的交互数据。
在黑客利用社交网络“视图”工具中的漏洞来攻击超过5000万Facebook帐户的两个星期之后,以及英国政治咨询公司Cambridge Analytica非法访问8700万Facebook用户数据数月之后,这一事件才被公开。
原文作者:KYLE WIGGERS
