Google+ expõe dados de 52 milhões de usuários

28/12/2018 mindsecblog Notícias 1

Google+ expõe dados de 52 milhões de usuários. O Google alertou no dia 10 de dezembro, que uma atualização de API com bugs introduzida em novembro em sua rede social do Google+, que será desativada em breve, expõe informações pessoais de 52,2 milhões de usuários.

O alerta de segurança chega apenas dois meses depois que o Google admitiu tardiamente que os dados de uma estimativa de 500.000 contas haviam sido expostos em março, devido a um problema com a mesma API. Mas o Google só revelou essa exposição de dados em outubro, após matéria do Wall Street Journal .

A mais recente exposição de dados não poderia vir em pior momento para a empresa de buscas, porque os legisladores e reguladores estão aumentando as investigações e controles das práticas de segurança e coleta de dados dos gigantes da tecnologia, incluindo Facebook, Twitter e Google.

Mas a rápida notificação do Google mostra que pode ter aprendido uma lição depois de sua experiência com a primeira exposição envolvendo o Google+, segundo disse Stephan Chenette, CTO do fornecedor de segurança AttackIQ, ao BankInfo Security

“As empresas com repetidos incidentes de segurança tendem a perder ainda mais a confiança do público, pois demonstra uma falha em aprender com os erros anteriores“, diz Chenette. “No entanto, em comparação com a última violação do Google, a empresa divulgou esse bug muito mais cedo e está tentando ser mais transparente.”

O problema mais recente do Google+ expôs dados pessoais que os usuários limitavam a apenas seus amigos – incluindo seu endereço físico, status de relacionamento, data de nascimento e empregador – para desenvolvedores de aplicativos. O Google lançou uma lista completa dos dados expostos coletados por seu pessoal.

Ainda pior, o mesmo tipo de dados foi exposto para as conexões dessas pessoas, muitas das quais provavelmente nunca consentiram com as permissões exigidas pelo aplicativo que seus amigos estavam usando.

A exposição durou seis dias, David Thacker, vice-presidente de gerenciamento de produtos do G Suite, escreve em um post no blog. “Nenhum terceiro comprometeu nossos sistemas, e não temos nenhuma evidência de que os desenvolvedores de aplicativos que inadvertidamente tiveram esse acesso por seis dias estivessem cientes disso ou o usassem indevidamente de qualquer maneira“, ele escreve.

Dados financeiros, números de identificação nacional, senhas ou dados semelhantes que poderiam ser usados para fraude não foram expostos, acrescenta.

A exposição ocorreu devido a um erro na Google+ People API, que os desenvolvedores que criam aplicativos compatíveis com a rede social podem acessar. Ao chamar a API, os desenvolvedores de aplicativos podem extrair dados do perfil de um usuário e ver o tipo de conteúdo que o usuário indicou que gostou ou compartilhou novamente.

Como resultado da exposição de dados, o Google disse que planeja acelerar o descomissionamento do Google+, que deveria ser a alternativa do gigante das buscas ao Facebook, mas não conseguiu ganhar força.

O Google encerrará todas as APIs do Google+ dentro de 90 dias, e toda a versão do consumidor do serviço será desativada em abril de 2019. A linha do tempo foi projetada para dar aos usuários tempo suficiente para fazer a transição do Google+ e para “baixar e migrar com segurança seus dados”, acrescenta.

O cronograma revisado acelera o plano de desligamento original do Google, anunciado há dois meses – quando admitiu ter exposto dados pela mesma API – que desativaria o Google+ em agosto de 2019.

O Google disse que sua decisão foi motivada pela má aceitação e uso do Google+ pelo consumidor. Mas planeja continuar oferecendo uma versão corporativa da rede social.