„Potencjalny” wyciek prywatnych danych 500 000 użytkowników Google+

W skrócie, niezabezpieczone API Google+ umożliwiało nieautoryzowany dostęp do danych użytkowników: imię, e-mail, zawód, płeć, wiek.

Podatny użytkownik najpierw musiał dać dostęp do swoich publicznych danych profilu dowolnej, zewnętrznej aplikacji G+ (niegroźne, prawda?). Ale dostęp był dawany również do pól prywatnych oraz do pól prywatnych przyjaciół:

When a user gave permission to an app to access their public profile data, the bug also let those developers pull their and their friends’ non-public profile fields.

Z analizy Google wynika, że potencjalnie podatnych było około 500 000 użytkowników. Google uczciwie pisze, że nie posiada żadnych dowodów na to, że podatność była znana komukolwiek innemu, choć powód takiego twierdzenia jest dość zastanawiający:

We made Google+ with privacy in mind and therefore keep this API’s log data for only two weeks. That means we cannot confirm which users were impacted by this bug.

Czyli trzymamy logi dostępowe tylko z dwóch tygodni, więc… starych logów nie mamy, więc nie mamy dowodów na misuse API.

Z drugiej strony, rzeczywiście ciężko na podstawie obecnych informacji snuć spiskowe teorie: źli hackerzy posiadają dane 500k użytkowników G+…

Smaczku całej historii dodaje też fakt, że Google wiedziało o problemie już w marcu tego roku (problem istniał od 2015r.), a mimo tego nie zdecydowano się na upublicznienie tej informacji – ponoć w obawie przed skandalem nawiązującym do afery z Cambridge Analytica (Facebook):

The company decided against informing the public because it would lead to “us coming into the spotlight alongside or even instead of Facebook despite having stayed under the radar throughout the Cambridge Analytica scandal,” according to an internal memo.

–ms