谷歌近日披露了Google+API中的第二个bug,它可能被滥用来窃取近5250万用户的私有数据。据谷歌的一位发言人说,该漏洞是在内部测试之后才被发现的,没有被任何第三方利用。
在发现这个新的API bug之后,谷歌还决定将用户版Google+关闭日期从2019年8月改为2019年4月。谷歌此前曾宣布,计划关闭消费者版的Google+社交网络,此前该公司在10月份发现了另一个API漏洞,暴露了50多万用户的个人资料细节。根据谷歌今天早些时候发布的一份事件报告,第二个bug位于Google+People API端点,应用程序和开发人员使用该端点获取用户配置信息。
谷歌表示,该漏洞允许应用程序错误接收用户设置为"非公开"的个人信息查看权限。这些应用程序被授予查看 Google+个人信息的权限。在这里可以找到攻击者可以访问的配置文件数据的完整列表,包括姓名、电子邮件地址、职业、年龄、技能、生日、昵称等信息。此外,可以访问Google+用户个人资料数据的应用程序还可以访问另一个Google+用户与同意用户共享的个人资料数据,但这些数据不是公开共享的,"谷歌补充道。
该公司补充说,更敏感的Google+数据,如财务信息、国家识别码或密码没有受到影响。谷歌表示,该漏洞是在去年11月的一次平台更新中引入的,在工程师发现该问题之前,它只运行了6天。该公司现在正在通知受此问题影响的用户。
Google+APIs的任何潜在影响,我们正在进行调查。除了将Google+日期提前4个月,谷歌还表示,将在2019年4月关闭日期之前90天内关闭Google+消费者版的所有Google+APIs 。
Google+将在2019年4月以后继续提供给企业客户,作为企业提供的G套件服务。许多公司已经采用了Google+随需应变平台作为内部网或Slack的替代方案。