Google+ 爆個資外洩,上線 7 年壽終正寢

作者 | 發布日期 2018 年 10 月 09 日 9:20 | 分類 Google , 社群 , 資訊安全 line share follow us in feedly line share
Google+ 爆個資外洩,上線 7 年壽終正寢


繼 Facebook 後,社群網站 Google+ 也捲入個資外洩風暴,數十萬用戶資料曝光,Google 因此宣布個人版 Google+ 將走入歷史。華爾街日報報導,Google 半年前發現問題卻不公開。

根據 Google 工程部副總裁史密斯(Ben Smith)今天發表的部落格文章,Google 今年啟動「閃光燈計畫」(Project Strobe),稽查第三方開發商存取 Google 帳戶和 Android 裝置資料的情況,結果發現 Google+ 應用程式介面(API)有重大漏洞。

Google 因此決定放棄個人版 Google+,給予用戶 10 個月時間下載並轉移資料,預定明年 8 月完全停止服務。Google+ 終止消費端功能後,未來只會開放給企業客戶,供企業內部交流使用。

Google+ 於 2011 年 6 月上線,被視為 Google 挑戰 Facebook 的產品,但人氣始終比不上 Facebook。華爾街日報報導,Google 上述決定形同為 Google+ 棺材釘上最後一根釘子。

報導援引 Google 內部文件及知情人士指出,2015 年至 2018 年 3 月期間,一項軟體問題讓外部開發商有機會存取 Google+ 用戶個資。Google 法律人員撰寫的備忘錄警告,若公布這起事件,可能「立即引起主管機關注意」,外界也會拿來和 Facebook 個資外洩事件比較,Google 聲譽恐受影響。

知情人士說,Google 內部委員會今年春季決定不通知 Google+ 用戶,Google 執行長皮蔡(Sundar Pichai)也獲知相關計畫。

報導指出,主管機關與隱私權倡議團體主張科技巨擘應為數十億用戶個資負起責任之際,這起事件顯示,Google 極力避免讓個資處理情況成為公眾關注焦點。

Google 曾對外保證,不太會像 Facebook 那樣捲入個資外洩醜聞,如今 Google 維護隱私的成效恐被打上問號,更可能危及 Google 避免華府加強監管的工作。

史密斯在文中寫道,用戶資料可能受影響時,Google 以多項衡量標準決定是否通知用戶,「我們能否精確辨識應告知的用戶、是否有個資遭濫用的證據、開發商或用戶是否有可採取的因應措施,就這起事件而言,前述門檻都沒有達到。」

內部備忘錄指出,Google 未掌握外部開發商濫用個資的證據,但無法確知是否毫無濫用情事。知情人士表示,Google+ 可能外流的用戶資料包括全名、電郵地址、出生日期、性別、大頭照、居住地、職業和感情狀態;電話號碼、電郵訊息、貼文、私訊和其他通訊資料未曝光。

Google 為方便外部開發商協助擴充應用程式,透過逾 130 個 API 讓外部開發商存取用戶個資。開發商通常需要取得用戶同意,但風險在於不肖分子可能假扮程式開發商,取得並濫用敏感個資。

Google 今天宣布,將終止外部開發商存取 Android 手機簡訊、通話紀錄和部分形式通訊錄資料的權限,Gmail 也只會開放極少數廠商繼續為這套電郵服務開發擴充功能。

華爾街日報 7 月報導,Google 讓數百家外部開發商,掃描數百萬註冊使用購物比價、自動化旅遊規劃等郵件相關服務的 Gmail 用戶收件匣。這些開發商訓練電腦甚至人工閱覽 Gmail 用戶郵件,Google 卻疏於管理。

(作者:尹俊傑;首圖來源:Flickr/Carlos Luna CC BY 2.0)