52 miliony narażonych kont – G+ szybciej do kasacji

W październiku Google poinformowało, że użytkownicy Google+ mogą powoli żegnać się z usługą. Decyzję o zamknięciu konsumenckiej wersji ogłoszono po odkryciu błędu w API pozwalającego na dostęp do danych, które teoretycznie powinny być niedostępne. Błąd mógł dotknąć 500’000 profili, ale wg Google, nie został przez nikogo wykorzystany.

W tym miesiącu Google ogłosiło, że w listopadowej transzy poprawek do API wprowadzono błąd, który umożliwiał nieuprawniony dostęp do części danych 52 milionów kont. Z tego powodu firma zdecydowała się na wyłączenie dostępu do API za trzy miesiące, a samo G+ przejdzie do historii już w kwietniu.

Z informacji wynika, że dodane do kont G+ aplikacje, które poprosiły użytkownika o dostęp do części danych profilowych – imię, e-mail, wiek itp (pełna lista dostępna w opisie API), otrzymywały dostęp również do informacji oznaczonych przez użytkowników jako niepubliczne. Dodatkowo, aplikacje mogły zyskać dostęp do niepublicznych informacji profilowych szerowanych między dwoma użytkownikami. Google podkreśla, że w źle napisanym API nie były dostępne żadne dane finansowe, hasła itp.

Błąd mógł dotyczyć ponad 52 milionów kont, jednak prawdopodobnie nikt go nie zdążył wykorzystać.

Co to oznacza dla nas?
Błąd został wykryty w ramach wewnętrznych testów Google tydzień po tym, jak go wprowadzono do systemu. To pozytywna informacja dla użytkowników usług Google – testują nawet usługi, które mają zniknąć z rynku w ciągu kilku miesięcy.

Z drugiej strony, jest to przestroga dla nas wszystkich, by nie podawać w sieci żadnych informacji, których nie chcemy ujawniać – nawet oznaczenie ich jako “niepubliczne” (czyli – wyłącznie do wiadomości dostawcy usług) nie gwarantuje, że rzeczywiście nikt poza dostawcą nie będzie miał do nich dostępu.

About lmj

Łukasz Jachowicz (honey). Pierwszy raz w internecie w 1991 lub 1992. Pierwszy raz z własnym serwisem (codziennie aktualizowanym!) – w 1996. Pierwszy raz z własnym serwisem oraz grupą wiernych fanów – w 2000/2001. Do dziś bez stałego łącza do internetu (choć by chciał – ale dystans ok. 90 metrów do skrzynki nie do przeskoczenia dla operatora). Przez wiele lat popularyzator idei otwartości w oprogramowaniu i standardach wykorzystywanych przez administrację publiczną. Zwolennik otwartości dostępu do możliwie szerokiego zakresu danych publicznych. Autor analiz i policy papers dotyczących otwartości danych publicznych i zarządzania internetem. Miłośnik (choć nie bezkrytyczny) Linuksa. Przez wiele lat zawodowo zajmował się analizowaniem styku polityki i technologii. Twórca 7thGuarda, Rębaczy i rosnącej liczby odcinków podkastu Cyber Cyber. Zawodowo związany z ISEC.pl, zespołem zajmującym się badaniem bezpieczeństwa systemów informatycznych.

View all posts by lmj →