Компания Google объявила о закрытии социальной сети Google+ для пользователей и принятии новых жестких мер по защите их данных. Поводом для этого решения стали невостребованность сервиса и ошибка в API Google+ People, из-за которой могла быть раскрыта информация из учетных записей более 500 тыс. человек.

По словам Бена Смита (Ben Smith), вице-президента по разработке Google, баг в марте 2018 года обнаружила команда проекта Strobe. Исследователи проводили аудит кода и анализировали права доступа разработчиков к учетным записям Google.

Выяснилось, что в одном из программных интерфейсов для взаимодействия с приложениями была ошибка, открывавшая доступ к профилям друзей пользователя Google+. Таким образом, данные, помеченные как непубличные — имя, возраст, пол, адрес электронной почты, место работы и другие — могли быть раскрыты. На телефонные номера, посты и личные сообщения эта уязвимость не распространялась.

Баг исправили сразу после обнаружения. Так как Google сохраняет данные логов API только две недели, эксперты не способны оценить масштаб предполагаемого ущерба. Однако они проанализировали доступные им данные и пришли к выводу, что баг мог затронуть 500 тыс. пользователей, а уязвимый API использовали 438 приложений. Доказательств того, что кто-либо из разработчиков знал об этой ошибке и злоупотреблял ею, эксперты не нашли, как и свидетельств, что данные из учетных записей были где-то использованы.

Незадолго до официального заявления Google в The Wall Street Journal вышла статья, где говорилось, что проблема существовала с 2015 года. По словам журналистов, IT-гигант, обнаружив баг, не обнародовал его из боязни нанести ущерб репутации и привлечь внимание регуляторов.

Смит утверждает, что Google не рассказала об уязвимости раньше, так как искала доказательства неправомерного использования данных или факта утечки. По его словам, ни того, ни другого исследователи не нашли, так что пользователям и разработчикам не нужно было принимать превентивных мер.

Тем не менее, основной причиной закрытия Google+ в блоге компании называют недостаточную популярность сервиса.

«В настоящее время у потребительской версии Google+ очень низкий коэффициент посещаемости и вовлеченности: 90% пользовательских сессий длятся менее пяти секунд», — отметил Смит.

Для пользователей сервис просуществует еще 10 месяцев, до августа 2019 года. Однако для корпоративных пользователей он продолжит работать и дальше, сосредоточившись на разработке новых функций для бизнеса.

После того, как вскрылась вероятность столь масштабных утечек, компания объявила о принятии дополнительных защитных мер. Теперь, когда приложение будет запрашивать разрешения на доступ к учетным данным Аккаунта Google, пользователь будет выдавать их в диалоговом окне по одному.

Кроме того, компания ограничила возможности приложений, которые запрашивают доступ к Gmail, журналу вызовов и SMS на Android. В ближайшие месяцы Google также обещает обновить свою политику в отношении API Android Contacts.

Категории: Кибероборона, Уязвимости