華爾街日報(Wall Street Journal,WSJ)於周一(10/8)踢爆,Google在今年初發現Google+的一個API含有隱私漏洞,將允許開發人員存取Google+用戶友人的個人檔案,Google在得知後擔心引起如同臉書(Facebook)的資料外洩風波,並惹來監管機關的介入,因而選擇隱匿不報,在遭WSJ披露之後,Google在同一天坦承了該API的缺陷,並大動作地宣布即將明年8月關閉Google+的消費者版本。

根據Google的說法,該公司在今年初發起Strobe專案(Project Strobe),以全面性地稽核第三方開發人員存取Google帳號及Adnroid裝置資料的權限,主要考察Google的隱私控制操作、用戶因擔心資料隱私而選擇拒絕API的各種平台、開發人員可能會獲得過多造訪權限的領域,以及其它應該要透過政策嚴加控管的部份。

Strobe專案總計有4個重大發現,其中一項即涉及Google+。稽核顯示,Google+有個People API含有隱私漏洞,當Google+用戶允許基於該API的應用程式存取個人檔案之後,此一應用程式也能存取用戶友人的個人檔案,不管相關個人檔案是公開的或是僅與該名友人分享的。

這些不當被披露的個人檔案內含姓名、電子郵件帳號、職業、性別與年紀,但並未包含友人的Google+文章、訊息、Google帳號資料、電話號碼或G Suite內容。

Google工程副總裁Ben Smith說明,在隱私的考量下,該API的日誌資料只能保留兩周,使得Google也無從確認哪些用戶受到該漏洞的波及,但分析後推估,最多可能有438個應用程式使用了此一API,危及50萬個Google+帳號。Google是在今年3月發現此一漏洞並立即修補了它。

華爾街日報引述消息來源報導,當Google發現此一API漏洞時,內部曾經經歷一番公布與否的掙扎,當時Google律師曾說法律上並未要求Google必須對外披露此事,因為Google並不知道哪些開發人員可能擁有哪些資料,也不認為通知用戶會有任何好處。此外,Google還擔心該意外會造成類似臉書的資料外洩風波,並立即惹來監管機關的注意。

對此,Smith也提出了解釋,他說Google每年平均寄出數百萬個與隱私及安全漏洞有關的通知,對於是否通知用戶有幾個標準,包括潛在外洩資料的型態、能否辨識受影響的用戶、有否任何遭到濫用的證據,以及是否需要開發人員與使用者的回應,但此一意外並未符合上述任何標準。

儘管Google認為Google+用戶及開發人員不需因為該漏洞作出任何行動,但有鑑於Google也發現要成功建立並維護符合使用者期待的Google+服務是個重大挑戰,再加上消費者版本的Google+使用率並不高,使得Google決定畫下Google+的休止符。

Smith指出,Google+從未獲得廣大消費者及開發人員的採用,而且用戶與程式之間的互動也有限,Google+消費者版本的使用率一直很低,有90%的Google+用戶的使用期間不到5秒鐘。

Google預計於明年8月關閉Google+的消費者版本,隨後將釋出下載與轉移Google+資料的途徑。

但Google決定保留Google+的企業版。Smith表示,內部審核透露Google+更適合應用於企業中,讓員工能夠於安全的企業社交網路中參與內部討論,而且企業客戶可自行設定存取規定,還能集中控制,因此決定專心發展企業版的Google+,也會推出更多的相關功能。

儘管《歐盟通用資料保護規則》(EU General Data Protection Regulation,GDPR)規定企業要在得知資料外洩意外的72小時之內通知監管機關,但由於此一事件是發生在今年3月,而GDPR是在5月才上線,使得Google逃過一劫,但恐怕還是得面對來自消費者以及監管機關的質疑。


Advertisement

更多 iThome相關內容