Google+是Google在社群上做的一个尝试
门没锁不代表会被闯空门,资安有漏洞也不代表会被入侵。Google+的五十万人的身份资料门户大开,引发谷歌开始一系列改革措施。
Alphabet 旗下公司谷歌的社群应用Google+出现漏洞,至少50万名用户的资料曝露给上百位外部开发者。谷歌周一宣布关闭Google+的消费者版本。
三月,在谷歌探讨如何与其他应用程式共享资料时,就已经发现这个程式码漏洞并补救。检查后没有发现有开发者利用技术漏洞进行恶意操作。
这次程式漏洞随着系统更新而可能曝光的资料包括姓名、电子信箱、职业、性别、年龄。
谷歌表示,文字讯息、谷歌账户资料以及电话号码都安然无恙。
Google+使用者资料经由上百个应用程式转交给第三方开发者。这个漏洞是在其中一个工具里面找到的。也就是说,中间上百个应用程式的开发者都有办法拿到2015到2018三月之间的Google+身份资料。
《华尔街日报》报道引述匿名消息与内部文件指出,谷歌并不希望资安丑闻曝光,以免被跟脸书的剑桥分析案做联想。报道也指出,谷歌执行长皮蔡(Sundar Pichai)知情。谷歌不愿意在声明之外进一步发表评论。
谷歌周一表示,揭露资安漏洞有诸多前提,调查过后发现此次事件都不具备。这些前提包括公司有告知使用者的能力、可疑活动的证据、开发者或使用者是否有办法采取行动自保。
但是许多资讯安全与隐私权专家、以及金融分析师不认同这种想法。
“使用者有权知道他们自己的资料曝露在被盗用的风险当中,”雷曼(Jacob Lehman)说,“这是剑桥分析事件之后,脸书遭到各界盘查,所得到的结论。”
开发者门槛正在提高
周一,谷歌宣布了几项措施,旨在限制开发者透过Google Play商店App以及附加原件,传输与组织电子邮件信息的权限。
未来,除了使用者手机上自动拨号或自动传讯的应用程式之外,在Play商店中陈列的应用程式将来不再允许开发者取用文字信息与通话记录。
至于电子邮件的附加原件,将从明年开始禁止买卖使用者资料,并且需要花费1.5万美金到7.5万美金接受第三方资安专家的安全性评估。
一位曾经在Google+工作过的设计师梅西纳(Chris Messina)说,这些决定将会有助于谷歌控制周边业务的资料成长,“2011年,你可能会希望一些业余的三脚猫开发者进来,创造App,但是现在想要认真的专业人士。这个门槛正在提高。”
