Google+ API中的漏洞威胁到超过5200万用户的隐私

大约5250万Google+配置文件的非公开隐私信息可被已共享的app的开发人员访问。

该事件发生于去年11月，持续了六天，是由Google+ People API的一个漏洞引起的，该接口是专门用于在拥有者同意的情况下访问配置文件数据。

如果用户与允许访问其配置文件细节的app共享配置文件，那么不允许app获取的较为隐私的配置文件信息也会被访问到。

谷歌表示没造成损失

谷歌在例行的测试程序之后发现了这个隐私入侵漏洞。David Thacker，G Suite的产品管理副总裁，表示这个问题是一个日常更新引起的，一周之后被发现并修复了。

在今天的一份声明中（https://www.blog.google/technology/safety-security/expediting-changes-google-plus/announcement），他强调说，这个隐私漏洞不是被第三方发现的，谷歌没有证据表示“在六天内无意间拥有这种访问权限的应用程序开发者知道它或以任何方式滥用它。”

Google的通知清楚地表明，使用People API的应用程序开发人员禁止查看财产数据、身份号码、密码或可用于进行欺诈或身份盗窃的任何隐私信息。

Google+ People API提供了对个人完全资料数据的访问，包括姓名、电子邮件地址、职业、年龄、技能、性别、生日等。Google+ people API的页面上可以提供以上信息的完整列表。

谷歌已经开始与受影响的各方（消费者和企业客户）就这个漏洞进行通告预警。

Google+ 提前下架

Google的社交媒体平台也许永远不可能达到人们所预期的那样，该服务已经被安排在明年8月彻底终止。

而近期这个新发现的API 漏洞，已经是自十月份以来的第二个API 漏洞，公司决定把平台的下架时间提前到2019年4月，而Google+ 的所有API将在接下来的90天内关闭。

这3个月时间对于迁移到其他平台的用户来说应该已经足够了，但是当那天到来之时，很多用户还是会感到惊讶。

为了尽可能多地避免上述这种情况，Google将继续提供关于如何在平台上安全迁移数据的附加信息和说明。

企业用户则无需这样，因为Google+仍然可以通过G Suite向他们提供服务。

原文链接：https://www.bleepingcomputer.com/news/security/bug-in-google-api-puts-at-risk-privacy-of-over-52-million-users/