據(jù)外媒報(bào)道，谷歌同名社交網(wǎng)絡(luò) Google+ 因驚現(xiàn)漏洞將被關(guān)閉，該漏洞可能允許惡意開發(fā)者收集數(shù)億谷歌用戶的數(shù)據(jù)。

谷歌在一篇博客文章中說，作為 Project Strobe 的一部分，該公司在 2018 年 3 月發(fā)現(xiàn)了這個(gè)漏洞。Project Strobe 由 100 人組成，負(fù)責(zé)對(duì)允許訪問谷歌賬戶和 Android 設(shè)備數(shù)據(jù)的第三方開發(fā)工具進(jìn)行全面審查。

谷歌宣稱，Google+ People API 允許用戶訪問自己和朋友的個(gè)人資料數(shù)據(jù)，這無意中也允許第三方應(yīng)用程序刪除未被標(biāo)記為公開的個(gè)人資料，包括姓名、電子郵件地址、職業(yè)和性別等。

谷歌指出，這不包括發(fā)布或連接到 Google+ 或任何其他服務(wù)的數(shù)據(jù)，例如消息、谷歌帳戶數(shù)據(jù)、G Suite 內(nèi)容或電話號(hào)碼。

《華爾街日?qǐng)?bào)》看到的文件顯示，在 2015 年至 2018 年 3 月期間，谷歌內(nèi)部調(diào)查人員實(shí)施了一項(xiàng)修復(fù)措施，但此前這一漏洞始終未被發(fā)現(xiàn)。

谷歌表示，高達(dá) 50 萬個(gè) Google+ 賬戶受到影響，多達(dá) 438 個(gè)應(yīng)用程序可能使用了該 API。

不過谷歌堅(jiān)持認(rèn)為，該公司沒有發(fā)現(xiàn)開發(fā)人員知道或?yàn)E用安全漏洞的證據(jù)，也沒有發(fā)現(xiàn)用戶資料文件數(shù)據(jù)被濫用。不過，谷歌承認(rèn)自己無法確定這些問題，因?yàn)樗鼘?duì)開發(fā)人員沒有“審計(jì)權(quán)限”，而且它只保留有限的活動(dòng)日志。

谷歌在博文中寫道：“每年，我們都會(huì)向用戶發(fā)送數(shù)百萬條關(guān)于隱私、安全漏洞和其他問題的通知。每當(dāng)用戶數(shù)據(jù)可能受到影響，在決定是否提供通知時(shí)，我們都會(huì)超越法律對(duì)我們的要求，采用有益于用戶的標(biāo)準(zhǔn)。”

谷歌繼續(xù)寫道：“我們的隱私和數(shù)據(jù)保護(hù)辦公室審查了這個(gè)問題，查看了涉及的數(shù)據(jù)類型，并探討了我們是否能夠準(zhǔn)確地識(shí)別出需要告知的用戶，是否有任何濫用的證據(jù)，以及開發(fā)人員或用戶是否可以采取任何應(yīng)對(duì)措施等。在這次事件中，這些閾值都沒有達(dá)到。”

今天早上，谷歌高管內(nèi)部委員會(huì)——谷歌隱私和數(shù)據(jù)保護(hù)辦公室（包括谷歌首席執(zhí)行官桑達(dá)爾·皮查伊（Sundar Pichai））簡要介紹了其一項(xiàng)計(jì)劃，即不向用戶通報(bào) Google+ 的漏洞，因?yàn)槠鋼?dān)心可能會(huì)引來審查，并造成名譽(yù)損害。

《華爾街日?qǐng)?bào)》獲得的一份備忘錄稱:“這可能導(dǎo)致谷歌與 Facebook 一起(甚至取代 Facebook)成為聚光燈下的焦點(diǎn)，在劍橋分析公司(Cambridge Analytica)濫用數(shù)據(jù)丑聞期間，F(xiàn)acebook 始終處于人們的關(guān)注之下。如果漏洞曝光，幾乎可以肯定，皮查伊需要前往國會(huì)作證。”

公司律師建議谷歌稱，法律上沒有要求其向公眾披露這一事件。歐盟的《通用數(shù)據(jù)保護(hù)條例》（GDPR）規(guī)定，公司必須在 72 小時(shí)內(nèi)通知監(jiān)管機(jī)構(gòu)存在違規(guī)行為，但由于這一漏洞是在 3 月份(GDPR 生效前兩個(gè)月)被發(fā)現(xiàn)的，因此該規(guī)定也不適用。

有鑒于此，谷歌隱私和數(shù)據(jù)保護(hù)辦公室決定，由于谷歌無法確定哪些開發(fā)人員可能獲得了數(shù)據(jù)，所以公開披露這個(gè)漏洞不會(huì)給終端用戶帶來任何“效益”。

Google+ 將在 2019 年 8 月正式關(guān)閉，之前有 10 個(gè)月的停擺期。谷歌表示，這項(xiàng)服務(wù)目前的“用戶參與度很低”，90% 的 Google+ 用戶會(huì)話持續(xù)時(shí)間不到 5 秒。在這幾個(gè)月里，我們將看到為企業(yè)“量身定制”的新功能。

作為 Project Strobe 的一部分，谷歌今天宣布將推出一個(gè)流線型的權(quán)限管理視圖，用于谷歌帳戶的訪問提示。

此外，谷歌還對(duì)用戶 Gmail API 實(shí)施了更嚴(yán)格的 API 訪問策略，以限制可能尋求訪問電子郵件數(shù)據(jù)權(quán)限的應(yīng)用程序。從現(xiàn)在開始，只有“直接增強(qiáng)”功能的應(yīng)用程序，如電子郵件客戶端、備份服務(wù)和生產(chǎn)力服務(wù)才能獲得授權(quán)。

谷歌還表示，該公司將限制 Android 應(yīng)用程序在 Android 設(shè)備上接收通話記錄和 SMS 權(quán)限的能力，并且不再通過 Android Contacts API 提供聯(lián)系人交互數(shù)據(jù)。

兩周前，有消息稱黑客利用“查看為”(View As)功能中的漏洞，接管了 5000 多萬個(gè) Facebook 賬戶。幾個(gè)月前，政治咨詢公司劍橋分析公司以不恰當(dāng)方式訪問了 8700 萬 Facebook 用戶的數(shù)據(jù)。