Kolejny wyciek danych z Google+. Tym razem luka dotyczyła 52,5 miliona użytkowników
Kiedy Google w sierpniu poinformowało o planowanym wyłączeniu sieci społecznościowej Google+, raport Wall Street Journal ujawnił błąd, który pozwalał na zdobycie haseł ponad 500 tys. użytkowników. Teraz okazuje się, że nie był to jedyny problem. Nowo odkryta luka dotyczyła nawet 52,5 miliona użytkowników.
Zamknięcie portalu społecznościowego Google+ przez Google'a przyćmiło nieco fakt, że gigant ukrył możliwy wyciek danych prawie 500 tys. użytkowników. Wprawdzie firma zapewnia, że do niczego poważnego nie doszło, ale amerykański senat i tak będzie drążył temat. Ciekawe, do czego dojdzie tym razem, skoro zagrożenie dotyczyło kilkanaście razy większej liczby użytkowników?
Nowa luka w Google+
W poniedziałek Google poinformowało na swoim blogu o błędzie w interfejsie API Google+ . Pojawił się wraz z aktualizacją 7 listopada i pozwalał na dostęp do danych 52,5 miliona użytkowników. Jak twierdzi Google, luka została wykryta i naprawiona 13 listopada, a więc dopiero 6 dni później.
"Nasze testy wykazały, że interfejs API Google+ nie działa zgodnie z zamierzeniami. Naprawiliśmy błąd natychmiast i rozpoczęliśmy śledztwo w tej sprawie" - czytamy na blogu Google'a.
Co można było zdobyć?
Błąd dotyczył aplikacji zewnętrznych, które posiadały zezwolenie tylko i wyłącznie na przeglądanie podstawowych informacji, takich jak imię, zdjęcie oraz link do profilu. Tymczasem zamiast tego, uzyskiwały pełne informacje o użytkowniku, czyli imię i nazwisko, adres e-mail, zawód, wiek, wszystko. I to bez względu na tu, czy profil był ustawiony jako publiczny, czy nie.
To jeszcze nie wszystko. Aplikacje uzyskiwały także dostęp do danych udostępnianych prywatnie, tylko dla jednej osoby.
Google: Nie ma dowodów
"Błąd nie dawał aplikacjom dostępu do informacji, takich jak dane finansowe, krajowe numery identyfikacyjne, hasła lub podobne dane, zwykle wykorzystywane do oszustw lub kradzieży tożsamości."
Google twierdzi, że nie ma żadnych dowodów na to, aby doszło do jakiejkolwiek kradzieży danych. I chcielibyśmy w to wierzy, ale jasne wydaje sie, że tak gigantyczną firmę z pewnością obserwuje wiele szemranych organizacji, które tylko czekają na luki w systemie. Tegoroczne doświadczenia związane z aferą Facebooka i Cambridge Analytica z pewnością dały wielu osobom wyobrażenie o tym, co korporacje robią z naszymi danymi.
