掰噗~
哇哩咧 :-&
生活中找樂趣
Google今年初發起Strobe專案,全面性地稽核第三方開發人員存取Google帳號及Adnroid裝置資料的權限,稽核後發現,Google+有個People API含有隱私漏洞,當Google+用戶允許基於該API的應用程式存取個人檔案之後,此一應用程式也能存取用戶友人的個人檔案,不管相關個人檔案是公開的或是僅與該名友人分享的。
生活中找樂趣
華爾街日報(Wall Street Journal,WSJ)於周一(10/8)踢爆,Google在今年初發現Google+的一個API含有隱私漏洞,將允許開發人員存取Google+用戶友人的個人檔案,Google在得知後擔心引起如同臉書(Facebook)的資料外洩風波,並惹來監管機關的介入,因而選擇隱匿不報,在遭WSJ披露之後,Google在同一天坦承了該API的缺陷,並大動作地宣布即將明年8月關閉Google+的消費者版本。
生活中找樂趣
根據Google的說法,該公司在今年初發起Strobe專案(Project Strobe),以全面性地稽核第三方開發人員存取Google帳號及Adnroid裝置資料的權限,主要考察Google的隱私控制操作、用戶因擔心資料隱私而選擇拒絕API的各種平台、開發人員可能會獲得過多造訪權限的領域,以及其它應該要透過政策嚴加控管的部份。
生活中找樂趣
Strobe專案總計有4個重大發現,其中一項即涉及Google+。稽核顯示,Google+有個People API含有隱私漏洞,當Google+用戶允許基於該API的應用程式存取個人檔案之後,此一應用程式也能存取用戶友人的個人檔案,不管相關個人檔案是公開的或是僅與該名友人分享的。
生活中找樂趣
這些不當被披露的個人檔案內含姓名、電子郵件帳號、職業、性別與年紀,但並未包含友人的Google+文章、訊息、Google帳號資料、電話號碼或G Suite內容。
生活中找樂趣
Google工程副總裁Ben Smith說明,在隱私的考量下,該API的日誌資料只能保留兩周,使得Google也無從確認哪些用戶受到該漏洞的波及,但分析後推估,最多可能有438個應用程式使用了此一API,危及50萬個Google+帳號。Google是在今年3月發現此一漏洞並立即修補了它。
生活中找樂趣
華爾街日報引述消息來源報導,當Google發現此一API漏洞時,內部曾經經歷一番公布與否的掙扎,當時Google律師曾說法律上並未要求Google必須對外披露此事,因為Google並不知道哪些開發人員可能擁有哪些資料,也不認為通知用戶會有任何好處。此外,Google還擔心該意外會造成類似臉書的資料外洩風波,並立即惹來監管機關的注意。
生活中找樂趣
對此,Smith也提出了解釋,他說Google每年平均寄出數百萬個與隱私及安全漏洞有關的通知,對於是否通知用戶有幾個標準,包括潛在外洩資料的型態、能否辨識受影響的用戶、有否任何遭到濫用的證據,以及是否需要開發人員與使用者的回應,但此一意外並未符合上述任何標準。
生活中找樂趣
儘管Google認為Google+用戶及開發人員不需因為該漏洞作出任何行動,但有鑑於Google也發現要成功建立並維護符合使用者期待的Google+服務是個重大挑戰,再加上消費者版本的Google+使用率並不高,使得Google決定畫下Google+的休止符。
生活中找樂趣
Smith指出,Google+從未獲得廣大消費者及開發人員的採用,而且用戶與程式之間的互動也有限,Google+消費者版本的使用率一直很低,有90%的Google+用戶的使用期間不到5秒鐘。
生活中找樂趣
Google預計於明年8月關閉Google+的消費者版本,隨後將釋出下載與轉移Google+資料的途徑。
生活中找樂趣
但Google決定保留Google+的企業版。Smith表示,內部審核透露Google+更適合應用於企業中,讓員工能夠於安全的企業社交網路中參與內部討論,而且企業客戶可自行設定存取規定,還能集中控制,因此決定專心發展企業版的Google+,也會推出更多的相關功能。
生活中找樂趣
儘管《歐盟通用資料保護規則》(EU General Data Protection Regulation,GDPR)規定企業要在得知資料外洩意外的72小時之內通知監管機關,但由於此一事件是發生在今年3月,而GDPR是在5月才上線,使得Google逃過一劫,但恐怕還是得面對來自消費者以及監管機關的質疑。
生活中找樂趣
=引用結束=
生活中找樂趣
https://imgs.plurk.com/Qv0/RM5/mJG9rnMiT78mu5ma2zHXpMA7H3w_lg.jpeg
Google+自上線後始終不是很受使用者歡迎,被爆出重大個資醜聞後,Google終於打算放棄經營,決定大舉砍掉Google+個人版的服務。(圖/pixabay)
生活中找樂趣
繼臉書後,社群網站Google+也捲入個資外洩風暴,數十萬用戶資料曝光,Google因此宣布個人版Google+將走入歷史。華爾街日報報導,Google半年前發現問題卻不公開。
生活中找樂趣
重大漏洞讓Google+壽終正寢
生活中找樂趣
根據Google工程部副總裁史密斯(Ben Smith)今天發表的部落格文章,Google今年啟動「閃光燈計畫」(Project Strobe),稽查第三方開發商存取Google帳戶和Android裝置資料的情況,結果發現Google+應用程式介面(API)存有重大漏洞。
生活中找樂趣
Google因此決定放棄個人版Google+,給予用戶10個月時間下載並轉移資料,預定明年8月完全停止服務。Google+終止消費端功能後,未來只會開放給企業客戶,供企業內部交流使用。
生活中找樂趣
Google+於2011年6月上線,被視為Google挑戰臉書(Facebook)的產品,但人氣始終比不上臉書。華爾街日報報導,Google上述決定形同為Google+棺材釘上最後一根釘子。
生活中找樂趣
怕聲譽受影響,Google極力隱瞞漏洞
生活中找樂趣
報導援引Google內部文件及知情人士指出,2015年至2018年3月期間,一項軟體問題讓外部開發商有機會存取Google+用戶個資。Google法律人員撰寫的備忘錄警告,若公布這起事件,可能「立即引起主管機關注意」,外界也會拿來和臉書個資外洩事件比較,Google聲譽恐受影響。
生活中找樂趣
知情人士說,Google內部委員會今年春季決定不通知Google+用戶,Google執行長皮查伊(Sundar Pichai)也獲知相關計畫。
生活中找樂趣
報導指出,主管機關與隱私權倡議團體主張科技巨擘應為數十億用戶個資負起責任之際,這起事件顯示,Google極力避免讓個資處理情況成為公眾關注焦點。
生活中找樂趣
Google曾對外保證,不太會像臉書那樣捲入個資外洩醜聞,如今Google維護隱私的成效恐被打上問號,更可能危及Google避免華府加強監管的工作。
生活中找樂趣
史密斯在文中寫道,用戶資料可能受影響時,Google以多項衡量標準決定是否通知用戶,「我們能否精確辨識應告知的用戶、是否有個資遭濫用的證據、開發商或用戶是否有可採取的因應措施,就這起事件而言,前述門檻都沒有達到。
生活中找樂趣
有什麼資料外流了?為什麼會外流?
生活中找樂趣
內部備忘錄指出,Google未掌握外部開發商濫用個資的證據,但無法確知是否毫無濫用情事。知情人士表示,Google+可能外流的用戶資料包括全名、電郵地址、出生日期、性別、大頭照、居住地、職業和感情狀態;電話號碼、電郵訊息、貼文、私訊和其他通訊資料未曝光。
生活中找樂趣
Google為方便外部開發商協助擴充應用程式,透過逾130個API讓外部開發商存取用戶個資。開發商通常需要取得用戶同意,但風險在於不肖分子可能假扮程式開發商,取得並濫用敏感個資。
生活中找樂趣
Google今天宣布,將終止外部開發商存取Android手機簡訊、通話紀錄和部分形式通訊錄資料的權限,Gmail也只會開放極少數廠商繼續為這套電郵服務開發擴充功能。
生活中找樂趣
華爾街日報7月報導,Google讓數百家外部開發商,掃描數百萬註冊使用購物比價、自動化旅遊規劃等郵件相關服務的Gmail用戶收件匣。這些開發商訓練電腦甚至人工閱覽Gmail用戶郵件,Google卻疏於管理。
生活中找樂趣
=引用結束=
載入新的回覆