Google+ expõe dados de usuários através de APIs mas não divulgou

Google+ expõe dados de usuários através de APIs mas não divulgou. O Google afirma que um bug em uma API para o serviço de rede social do Google+ expôs detalhes pessoais de cerca de 500 mil contas, mas acredita que os dados não foram usados ​​de maneira errada.

O Google corrigiu o bug em março, mas optou por não divulgar publicamente o problema, com base em uma recomendação feita por seu escritório de privacidade e proteção de dados, escreve Ben Smith, colega e vice-presidente de engenharia da Google. em um post no blog.

Mas a empresa foi forçada a reconhecer o incidente depois que o The Wall Street Journal divulgou na segunda-feira, dia 08 de setembro, a exposição dos dados. “O Google expôs os dados privados de centenas de milhares de usuários da rede social do Google+ e optou por não divulgar o problema na primavera passada, em parte por temer que isso atraísse escrutínio regulatório e causasse danos à reputação, segundo pessoas informadas sobre o assunto. o incidente e documentos revisados pelo The Wall Street Journal.”

Em seu post sobre a exposição de dados, o Google não especificou onde os usuários afetados poderiam estar ou se havia alertado os reguladores de privacidade de qualquer país quanto à exposição dos dados.

Uma porta-voz do Google se recusou a comentar sobre a localização dos usuários cujos dados foram potencialmente expostos. “Todos os anos, enviamos milhões de notificações aos usuários sobre erros e problemas de privacidade e segurança“, ela diz ao Information Security Media Group. “Sempre que os dados do usuário podem ter sido afetados, vamos além de nossos requisitos legais e aplicamos vários critérios focados em nossos usuários para determinar se devemos fornecer um aviso.

No caso desta exposição de dados, ela diz ao Media Group que a análise interna do Google descobriu que não seria capaz de identificar quais usuários informar, e também concluiu que não havia “evidência de uso indevido” ou ações que os desenvolvedores ou usuários possam tomar, como resultado, a empresa optou por não emitir uma notificação. “A análise destacou os desafios significativos na criação e manutenção de um sucesso no Google+ que atende às expectativas dos consumidores“, diz ela. “Diante desses desafios e do uso muito baixo da versão do Google+ para o consumidor, decidimos desativar a versão do Google+ para o consumidor.

Entre 2015 e março de 2015, os dados de perfil foram acessados ​​por desenvolvedores de terceiros, mas o Google resolveu não notificar os usuários, segundo documentos obtidos pelo Wall Street Journal, bem como fontes não identificadas citadas no relatório do Journal.

Segundo a SC Magazine, um memorando interno disse que a situação atrairia “interesse regulatório imediato“, bem como comparações com o desastre do Facebook com a Cambridge Analytica, segundo o relatório. O Google descobriu o bug em uma de suas APIs de pessoas no Google+ como parte de um comentário chamado Project Strobe, “uma revisão de raiz e filial de acesso de desenvolvedores terceirizados a dados de contas e dispositivos Android e de nossa filosofia sobre dados de aplicativos acesso ”, disse a empresa em um post no blog. “Acreditamos que [o bug] ocorreu após uma mudança que teve como resultado da interação da API com uma alteração subsequente no código do Google+“, afirmou o Google. “Criamos o Google+ com privacidade em mente e, portanto, mantemos os dados de registro desta API por apenas duas semanas. Isso significa que não podemos confirmar quais usuários foram impactados por esse bug. No entanto, fizemos uma análise detalhada nas duas semanas anteriores à correção do bug e, a partir dessa análise, os perfis de até 500.000 contas do Google+ foram potencialmente afetados. Nossa análise mostrou que até 438 aplicativos podem ter usado essa API.

O Google afirmou que “não encontrou evidências de que algum desenvolvedor estivesse ciente desse bug ou abusasse da API, e não encontramos nenhuma evidência de que qualquer dado do Perfil foi mal utilizado ”.

A empresa “reduzirá” o Google+ para os consumidores nos próximos dez meses e fortalecerá ainda mais seus esforços de privacidade e proteção de dados. “Na minha opinião, o Google está basicamente alegando ignorância a fim de se proteger de ramificações legais“, disse Paul Bischoff, advogado de privacidade da Comparitech , à SC Magazine. “Ele convenientemente deixou de fora algumas figuras cruciais em sua resposta que nos daria uma imagem mais clara do escopo deste incidente.” Bischoff apontou que “o Google diz que 438 aplicativos tinham acesso não autorizado aos dados do perfil do Google+, mas não diz quantos usuários utilizaram esses aplicativos.” E, segundo ele, “embora o Google afirme ter realizado uma investigação superficial e não encontrou nada suspeito, ele também observa que, na verdade, não contatou nem auditou nenhum dos desenvolvedores desses aplicativos.

Mas “Como o Google é muito popular e possui alto uso, e devido ao fato de que esta vulnerabilidade existiu durante a maior parte de três anos, seria razoável supor que o número de ocorrências em que os dados do Google+ foram obtidos e utilizados não é zero” – disse Bischoff. “Embora não haja uma lei federal de notificação de violação nos EUA, cada estado agora tem sua própria lei de notificação de violação. No entanto, essas leis só se aplicam quando é claro que os dados foram obtidos por terceiros não autorizados. Ao fechar os olhos para saber se isso ocorreu e apenas reconhecer que existia uma vulnerabilidade, o Google pode alegar ignorância“, complementa.

”O atraso do Google em revelar a potencial divulgação de dados foi minucioso.

Ao contrário da recente violação do Facebook, esse cronograma de divulgação é incompreensivelmente longo e provavelmente provocará muitas perguntas das autoridades reguladoras“, disse Ilia Kolochenko, CEO da High-Tech Bridge à SC Magazine. “Incapacidade de avaliar e quantificar os usuários afetados não isenta de divulgação.

Embora “uma vulnerabilidade de segurança por si só não acione automaticamente o dever de divulgação … parece que o Google tem algumas dúvidas de que a falha poderia ter sido explorada“, disse Kolochenko. “esclarecimentos adicionais do Google e detalhes técnicos do incidente certamente seriam úteis para restaurar a confiança entre seus usuários atualmente abandonados no escuro“.

Embora seja amplamente conhecido o programa de recompensas do Googlepara quem descobre bugs em seis sistemas, Kolochenko observou que “tecnicamente falando, este é mais um exemplo colorido de que a recompensa de bugs não é uma bala de prata mesmo com os pagamentos mais altos do Google.

O comunicado e explicação completa do Google sobre a ocorrência pode ser encontrada no Blog do Google .

 

fonte: SC Magazine & InfoBank Security & Blog do Google & The Wall Street Journal

 

Veja também:

Sobre mindsecblog 1759 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Seja o primeiro a comentar

Deixe sua opinião!