Конфиденциальные данные более 52,5 миллионов пользователей социальной сети Google+ оказались доступны разработчикам приложений, запрашивающих разрешения для просмотра информации пользователей

Инцидент имел место на протяжении 6 дней в ноябре и была вызван багом в интерфейсе People API Google+, который позволяет приложениям и сервисам взаимодействовать с данными пользователей сети с их согласия.

В случае предоставления доступа приложениям, они могли получить доступ даже к приватной информации, которая не предназначалась для просмотра сторонними сервисами.

Без реального ущерба

Проблема нарушения конфиденциальности была обнаружена в рамках обычных процедур тестирования Google. Вице-президент по управлению продуктами G Suite, Дэвид Тэкер (David Thacker) рассказал, что ошибка возникла из-за обновления и была обнаружена и исправлена неделю спустя.

Тэкер подчеркивает, что нарушения конфиденциальности не стали результатом компрометации аккаунтов третьей стороной и что нет никаких доказательств того, что разработчики приложении знали о наличии ошибки и использовали ее в каких-либо сценариях.

Google поясняет, что разработчики приложений не могли просматривать финансовые данные, идентификационные номера, пароли или сведения, которые можно использовать для совершения мошенничества или кражи личных данных.

Отметим, что Google+ People API предоставляет доступ ко всем данным профиля, включая имя, адрес электронной почты, род занятий, возраст, навыки, пол, день рождения и др.

По материалам Bleeping Computer