我要评论谷歌近日披露了google+api中的第二个bug,它可能被滥用来窃取近5250万用户的私有数据。据谷歌的一位发言人说,该漏洞是在内部测试之后才被发现的,没有被任何第三方利用。
在发现这个新的api bug之后,谷歌还决定将用户版google+关闭日期从2019年8月改为2019年4月。谷歌此前曾宣布,计划关闭消费者版的google+社交网络,此前该公司在10月份发现了另一个api漏洞,暴露了50多万用户的个人资料细节。根据谷歌今天早些时候发布的一份事件报告,第二个bug位于google+people api端点,应用程序和开发人员使用该端点获取用户配置信息。
谷歌表示,该漏洞允许应用程序错误接收用户设置为“非公开”的个人信息查看权限。这些应用程序被授予查看 google+个人信息的权限。在这里可以找到攻击者可以访问的配置文件数据的完整列表,包括姓名、电子邮件地址、职业、年龄、技能、生日、昵称等信息。此外,可以访问google+用户个人资料数据的应用程序还可以访问另一个google+用户与同意用户共享的个人资料数据,但这些数据不是公开共享的,“谷歌补充道。
该公司补充说,更敏感的google+数据,如财务信息、国家识别码或密码没有受到影响。谷歌表示,该漏洞是在去年11月的一次平台更新中引入的,在工程师发现该问题之前,它只运行了6天。该公司现在正在通知受此问题影响的用户。
google+apis的任何潜在影响,我们正在进行调查。除了将google+日期提前4个月,谷歌还表示,将在2019年4月关闭日期之前90天内关闭google+消费者版的所有google+apis 。
google+将在2019年4月以后继续提供给企业客户,作为企业提供的g套件服务。许多公司已经采用了google+随需应变平台作为内部网或slack的替代方案。
您可能感兴趣的文章:
如您对本文有疑问或者有任何想说的,请 点击进行留言回复,万千网友为您解惑!
网友评论