數據泄露致Google+暴死：一圖揭整個流程

IT之家10月12日消息 IT之家於幾日前報道了，谷歌已經決定關閉旗下社交媒體網站Google+消費者版的消息。據悉，這起事件的緣起是谷歌數十萬用戶的個人數據遭到了泄露。

《華爾街日報》援引自知情人士和相關文件報道稱，這數十萬用戶的個人數據在今年春天遭到泄露，但由於擔心招致監管、審查並導致聲譽受損，谷歌選擇了推遲披露這一問題。

那麼這數十萬名用戶的數據是如何泄露的？《華爾街日報》在報道中貼出了一張示意圖，揭示了數據泄露的整個過程。

根據示意圖，整個過程大致如下：

• 用戶A註冊Google+並填寫個人檔案（名字、僱主、職位、性別、生日和關係狀態等）

• 用戶A在隱私設定中將檔案數據設置為對特定Google+用戶群可見，其中包括用戶B

• 用戶B登入了某個可以使用Google+憑據登錄的應用，並給予了該應用訪問檔案信息的許可權

• 上述應用收集了用戶B的數據。由於軟體故障的存在，開發者同時也能收集用戶A的檔案數據

• 谷歌發現並於2018年3月修復了漏洞，未發現數據遭到濫用的證據

據稱，谷歌通過130多種不同的公共渠道（或者說是API）向外部開發人員提供用戶數據。通常，這些工具通常經過用戶的許可才能訪問信息，但是也可以被冒充成App開發者的攻擊者濫用，為後者獲取敏感個人數據訪問許可權。

谷歌此前也於此事做出了回應，稱未發現任何開發人員知道此Bug或濫用API的證據，也沒有發現證據表明任何配置文件數據遭濫用。本周四，美國參議院三位有影響力的共和党參議員提出，谷歌應該解釋為何推遲公布Google+社交網路的漏洞。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！