Google сообщает, что самостоятельно обнаружила лазейку в программном обеспечении, и она существовала всего шесть дней — с 7 по 13 ноября
Google признал ошибку в API Google+, позволившую хакерам получить доступ к персональным данным 52,5 млн пользователей социальной сети. Компания сама обнаружила баг, позволяющий разработчикам приложений, работающих с Google+, и расширений для браузера видеть личную информацию пользователей — даты рождения, имена, фамилии, род деятельности и т.д., — даже если владелец аккаунта хотел скрыть эту информацию от посторонних лиц.
В Google уверяют, что лазейка существовала всего шесть дней — с 7 по 13 ноября — и была ликвидирована при очередном обновлении. Также в компании уверены, что хакеры не успели воспользоваться этой ошибкой. «Ни одна третья сторона не использовала уязвимость наших систем, и у нас нет свидетельств того, что разработчики приложений, которые по неосторожности имели этот доступ в течение шести дней, знали об этом или каким-либо образом использовали его. С обнаружением этой новой ошибки мы решили ускорить закрытие всех API Google+; это произойдет в течение следующих 90 дней», — написали в блоге компании. Это означает, что сторонние разработчики больше не смогут дополнять сеть приложениями или расширениями.
Предыдущая уязвимость Google+ была обнаружена в марте 2018 года, но информация о ней появилась только в октябре. В компании признались, что ошибка позволяла разработчикам получать доступ к персональным данным в течение трех лет.
В октябре Google объявил, что закрывает потребительскую версию социальной сети Google+. В связи с последними новостями, компания сделает это на четыре месяца раньше, чем планировалось: в апреле, а не в августе. В конце ноября Google опубликовал список 44 закрытых продуктов, которые находятся на «кладбище» компании. Среди них оказалась и социальная сеть Google+.
Также в официальном заявлении Google говорится, что компания начала уведомлять пользователей и корпоративных клиентов, чьи данные могли быть затронуты. «Мы понимаем, что надежность продуктов, защищающих персональные данные, повышает доверие пользователей, — написал в своем заявлении Дэвид Такер, вице-президент Google по управлению проектами. — Мы всегда относились к этому серьезно и продолжаем инвестировать в программы по обеспечению конфиденциальности».
Другим поводом для закрытия Google+ послужила низкая популярность платформы, написал в блоге компании вице-президент Google по инженерному обеспечению Бен Смит: «Наши API Google+ и связанные с ними сервисы сложно разрабатывать и поддерживать». Хотя ежемесячная аудитория сети насчитывает 395 млн пользователей, сессии в среднем длятся не больше пяти секунд. Это означает, что они не используют Google+ в качестве рабочего инструмента.
Google планирует продолжить использовать Google+ в качестве корпоративного продукта для компаний, которые подписываются на его услугу G Suite.