50萬用戶身份看光光 谷歌關閉Google+

Symbolbild Google+ (picture-alliance/NurPhoto/A. Pohl)

門沒鎖不代表會被闖空門,資安有漏洞也不代表會被入侵。Google+的五十萬人的身份資料門戶大開,引发一系列檢討。

Alphabet 旗下公司谷歌的社群應用Google+出現漏洞,至少50萬名用戶的資料曝露給上百位外部開发者。谷歌週一宣佈關閉Google+的消費者版本。

三月,在谷歌探討如何與其他應用程式共享資料時,就已經發現這個程式碼漏洞並補救。檢查後沒有發現有開发者利用技術漏洞進行惡意操作。

這次程式漏洞隨著系統更新而可能曝光的資料包括姓名、電子信箱、職業、性別、年齡。

谷歌表示,文字訊息、谷歌賬戶資料以及電話號碼都安然無恙。

Google+使用者資料經由上百個應用程式轉交給第三方開发者。這個漏洞是在其中一個工具裡面找到的。也就是說,中間上百個應用程式的開发者都有辦法拿到2015到2018三月之間的Google+身份資料。

《華爾街日報》報導引述匿名消息與內部文件指出,谷歌並不希望資安醜聞曝光,以免被跟臉書的劍橋分析案做聯想。報導也指出,谷歌執行長皮蔡(Sundar Pichai)知情。谷歌不願意在聲明之外進一步发表評論。

谷歌週一表示,揭露資安漏洞有諸多前提,調查過後發現此次事件都不具備。這些前提包括公司有告知使用者的能力、可疑活動的證據、開发者或使用者是否有辦法採取行動自保。

但是許多資訊安全與隱私權專家、以及金融分析師不認同這種想法。

「使用者有權知道他們自己的資料曝露在被盜用的風險當中,」雷曼(Jacob Lehman)說,「這是劍橋分析事件之後,臉書遭到各界盤查,所得到的結論。」

開发者門檻正在提高

週一,谷歌宣佈了幾項措施,旨在限制開发者透過Google Play商店App以及附加原件,傳輸與組織電子郵件訊息的權限。

未來,除了使用者手機上自動撥號或自動傳訊的應用程式之外,在Play商店中陳列的應用程式將來不再允許開发者取用文字訊息與通話記錄。

至於電子郵件的附加原件,將從明年開始禁止買賣使用者資料,並且需要花費1.5萬美金到7.5萬美金接受第三方資安專家的安全性評估。

一位曾經在Google+工作過的設計師梅西納(Chris Messina)說,這些決定將會有助於谷歌控制周邊業務的資料成長,「2011年,你可能會希望一些業余的三腳貓開发者進來,創造App,但是現在想要認真的專業人士。這個門檻正在提高。」

德國之聲中文網 羅法/夏立民 (路透社、德新社)


激賞明鏡 1
激賞明鏡 2
比特幣激賞明鏡

3KAXCTLxmWrMSjsP3TereGszxKeLavNtD2
激賞操作及常見問題排除
推薦電視頻道

留言