Google объявила, что специалисты по безопасности обнаружили вторую уязвимость в Google+. Из-за этого закрытие сервиса перенесли с августа 2019 на апрель 2019.
Брешь в безопасности обнаружили в ноябрьском обновлении, она и затронула API Google+. Эта уязвимость позволяла злоумышленникам получить данные о профиле: имя, адрес электронной почты, профессия и возраст.
Проблема коснулась примерно 52,5 млн пользователей и, возможно, раскрыла вышеупомянутую информацию профиля, даже если эти данные были скрыты. Приложения могут также получить доступ к вышеупомянутой информации профиля, которая доступна только определенному кругу пользователей.
Google заявила, что столкнулась с ошибкой во время «стандартной процедуры тестирования», и исправила ее в течение недели после обнаружения. Google также отмечает, что ее системы не были скомпрометированы и нет никаких доказательств, что разработчики с доступом к информации знали об этом или злоупотребляли им.
Несмотря на это, Google уведомила затронутых пользователей и корпоративных клиентов. Компания также заявила, что закроет доступ к API Google+ в течение следующих 90 дней.
Подобная же уязвимость и привела к гибели Google+. Обнаруженная в марте и официально подтвержденная в октябре, уязвимость открывала разработчикам доступ к личным данным пользователей в течение трех лет. Google отметила, что ни один разработчик не знал об ошибке и не использовал уязвимый API Google+.
Google не смог сразу же раскрыть эту проблему из-за «опасений, что это приведет к тщательному контролю со стороны регулирующих органов и нанесет ущерб репутации». К счастью, Google не стала ждать восемь месяцев, чтобы раскрыть вторую уязвимость Google +.
