信息化觀察網(wǎng)

據(jù)《華爾街日報》報道，谷歌的同名社交網(wǎng)站Google+正在被關(guān)停，因為網(wǎng)站漏洞可能會讓惡意開發(fā)者團(tuán)隊收集數(shù)億用戶的數(shù)據(jù)。

今天早上出版的一份重磅報告稱，Google的隱私和數(shù)據(jù)保護(hù)辦公室（Privacy and Data Protection Office）是谷歌高管的內(nèi)部委員會，其中成員包括谷歌首席執(zhí)行官Sundar Pichai，該委員會坦陳，他們并不打算向用戶披露Google+的漏洞，因為該漏洞可能“使網(wǎng)站受到審查”和“損害網(wǎng)站的信譽(yù)”。

“盡管谷歌在英國分析公司Cambridge Analytica丑聞中一直備受關(guān)注，但（谷歌）會更加引起人們的注意，甚至比Facebook遇到的問題還要嚴(yán)重，”《華爾街日報》獲得的一份備忘錄稱，“基本能夠確定Sundar會在國會上作證。”

公司律師表示，谷歌并未依法向公眾披露此次事件。（歐盟的《通用數(shù)據(jù)保護(hù)條例》規(guī)定公司在發(fā)生泄露事件的72小時之內(nèi)通知監(jiān)管機(jī)構(gòu)，但是由于這一漏洞是在今年3月份被發(fā)現(xiàn)的，即《通用數(shù)據(jù)保護(hù)條例》生效的前兩個月，因此谷歌這次事件不受該條例的約束。）律師團(tuán)認(rèn)為，由于谷歌無法確認(rèn)哪些開發(fā)者獲得了數(shù)據(jù)，因此向公眾公開這次事件并不會給終端用戶帶來實際的好處。

谷歌在博客中表示，他們在2018年3月份發(fā)現(xiàn)了這一漏洞，作為Project Strobe項目的一部分。在該項目中，由100人組成的團(tuán)隊負(fù)責(zé)對第三方開發(fā)者工具進(jìn)行全面審查，因為這些工具允許訪問谷歌賬戶和Android設(shè)備的數(shù)據(jù)。

注：今年年初，谷歌設(shè)立Project Strobe隱私和安全審查項目，目的是審查第三方開發(fā)人員訪問谷歌帳戶和Android設(shè)備數(shù)據(jù)的權(quán)限，并對APP的訪問數(shù)據(jù)記錄進(jìn)行了徹底的審查。Google+漏洞所導(dǎo)致的用戶賬戶泄露問題正是在此次評估時被發(fā)現(xiàn)的。

根據(jù)Mountain View公司的說法，Google+ People API允許用戶授權(quán)訪問他們和朋友的個人資料數(shù)據(jù)，并且也會無意中允許第三方應(yīng)用程序獲取未被標(biāo)記為公開的數(shù)據(jù)，包括姓名、電子郵件地址、職業(yè)和性別。（谷歌注意到這些數(shù)據(jù)不包括發(fā)布或者連接到Google+或任何其它服務(wù)的數(shù)據(jù)，如短信、谷歌賬戶數(shù)據(jù)、G Suite內(nèi)容或者電話號碼。）

根據(jù)《華爾街日報》的評論文件，在2015年至2018年3月份，內(nèi)部調(diào)查人員實施了一次修復(fù)措施，但是仍然未發(fā)現(xiàn)這一漏洞。

在此次事件中，多達(dá)500,000個Google+帳戶受到影響，并且使用該API的應(yīng)用可能多達(dá)438個。谷歌堅稱，他們沒有發(fā)現(xiàn)開發(fā)人員濫用安全漏洞的證據(jù)，或者說個人資料被濫用。但是，他們也無法確定數(shù)據(jù)的非法用途，因為他們對開發(fā)人員并沒有“審查權(quán)”，而且只保留了一些有限的活動日志。

“我們每年都會向用戶發(fā)送數(shù)百萬條有關(guān)隱私和安全漏洞和問題的通知。每當(dāng)用戶數(shù)據(jù)受到影響時，我們就會按照法律要求，并使用多個標(biāo)準(zhǔn)來決定是否向用戶發(fā)送通知，”Google寫道：“我們的隱私和數(shù)據(jù)保護(hù)辦公室審查了這個問題，查看了所涉及的數(shù)據(jù)類型，我們是否可以準(zhǔn)確地識別用戶并通知他們、是否存在任何濫用數(shù)據(jù)的證據(jù)、以及開發(fā)人員或用戶是否可以采取相應(yīng)的措施。但是在這種情況下，我們都沒有實現(xiàn)這些要求。

“在10個月的休整期后，Google+將于2019年8月正式關(guān)閉。（谷歌稱網(wǎng)站目前的“用戶參與度較低”，而且90％的Google+用戶會話持續(xù)時間不到5秒。）在休整期間期間，Google+會推出專門供企業(yè)使用的新功能。

作為Project Strobe的一部分，Google今天宣布推出一款簡化的Google帳戶訪問提示權(quán)限管理視圖。它還為用戶Gmail API實施更嚴(yán)格的API訪問策略，以限制可能尋求訪問電子郵件數(shù)據(jù)權(quán)限的應(yīng)用；從現(xiàn)在開始，只有具備“直接增強(qiáng)”功能的應(yīng)用程序（如電子郵件客戶端、備份服務(wù)和生產(chǎn)力服務(wù)）才能獲得授權(quán)。此外，谷歌表示，這將限制Android應(yīng)用程序在Android設(shè)備上獲取通話記錄和短信權(quán)限的能力，并且它將不再通過Android Contacts API提供聯(lián)系人的交互數(shù)據(jù)。

在黑客利用社交網(wǎng)絡(luò)“視圖”工具中的漏洞來攻擊超過5000萬Facebook帳戶的兩個星期之后，以及英國政治咨詢公司Cambridge Analytica非法訪問8700萬Facebook用戶數(shù)據(jù)數(shù)月之后，這一事件才被公開。

原文作者：KYLE WIGGERS