谷歌工程副总裁：漏洞或导致50万Google+用户数据外泄

新京报快讯(记者 梁辰)北京时间10月9日，谷歌工程副总裁Ben Smith在官方博客中披露了今年初进行的一项名为“Project Strobe”调查的结果，由社交网络产品Google+一项API引发的漏洞可能暴露50万个账户个人资料数据，涉及438个应用程序。

　　不过，此前谷歌并未披露该漏洞。华尔街日报引用知情人士称，上述漏洞将使得外部开发者可以在2015年至2018年3月期间访问谷歌+个人资料数据，而谷歌选择不披露的部分原因是担心会引起监管审查，导致声誉受损。

　　外媒引用了一份内部备忘录显示，谷歌法律和政策工作人员将此事与Facebook将用户信息泄露给数据公司剑桥分析进行比较，担心会成为谷歌转而成为焦点。上述知情人士称，内部委员会达成决定后，CEO桑达尔·皮查伊(Sundar Pichai)向其告知了不通知用户计划。

　　Facebook数据泄露事件爆发后，2018年5月，欧盟通过了最严的数据保护条例，要求公司在72小时内通知监管机构违规情况，最高罚款可达全球收入的2%。

　　10月9日，在上述官方博客中，谷歌决定关闭Google+消费者功能，后者作为调查的一部分，谷歌仔细审核了与Google+相关的所有API。Google+发布于2011年，曾被视为谷歌应对Facebook挑战的产品，但普遍认为这是谷歌失败的战略之一。

　　不过，Ben Smith在博客中称，“当用户数据可能受到影响时，我们就会超出我们的法律要求，并根据若干个关于用户的标准决定是否通知用户”。

　　在衡量是否披露时，公司考虑“我们是否能准确识别出需要告知的用户，是否有任何滥用的证据，以及开发商或用户是否有任何行动可以采取行动回应”，Ben Smith表示这些都没有到达阈值。

　　上述博客称，在Google+ People API中发现一个错误可以导致应用程序访问与用户共享但未标记为公共的个人资料字段，包括姓名、电子邮件地址、职业、性别和年龄。2018年3月，谷歌就发现了这一错误，并立即修补了错误。

　　此外，博客还披露，谷歌将启动更详细的用户权限，并且将权限显示在各个对话框中。当应用提示用户访问Google账户数据时，始终要求用户查看所要求的数据，并且必须授权其明确的权限。

　　并且，谷歌将限制可以访问Gmail数据以及获取手机通信记录和短信数据等权限的应用类型。Ben Smith称，将在未来几个月内删除对Android Contacts API的联系人互动数据的访问权限，以及在接下来几个月中，将在API中推出更多的控股和更新策略。

　　受到这一消息影响，谷歌母公司Alphabet股价盘中一度跌幅超过2%，最终以1148.97美元收盘，跌幅为0.72%。

[ 责任编辑：xinhui ]

标签：

更多精彩关注微信：质讯