:

Szerző: Habók Lilla

2018. október 9. 13:36

Méretes hibát javítottak ki a Google+ fejlesztői

Érdeklődés hiányában bezárja a keresőóriás a mindig is alig használt Google+ közösségi oldalt. A hírt azok után jelentette be, hogy kiderült egy biztonsági rés, amelynek felfedezésekor és javításakor tudatosan nem értesítette az érintett felhasználókat.

Kiderült, hogy a Google márciusban felfedezett egy API-val kapcsolatos hibát a Google+ közösségi oldalon, de erről nem értesítette a felhasználókat - olvasható a cég hivatalos blogbejegyzésében. A vállalat nyilván egy magyarázattal is előállt, mely szerint az esetet megvizsgálta az adatvédelmi csapat, de nem talált rá bizonyítékot, hogy a biztonsági rést bármilyen fejlesztő kihasználta volna, így az adatok a Google szerint nem kerültek illetéktelen kezekbe, emiatt a vállalat nem érezte szükségesnek a tájékoztatást.

Azonban a bejegyzésből kiderül, hogy a "felhasználók adatvédelme érdekében" a cég csak két hétig tartja meg az API-k naplóadatait, vagyis a Google nem tudja kideríteni, hogy a biztonsági rés miatt valójában mely felhasználók adatai voltak veszélyben. A hiba felfedezése előtti két hét adatai alapján viszont úgy látható, hogy potenciálisan 500 ezer Google+ fióktulajdonos adatai lehettek elérhetőek, és a hibát rejtő API-t 438 alkalmazás használhatta.

A problémát a vállalat fejlesztői idén márciusban fedezték fel, de valójában 2015 óta kihasználható volt a rendszerben - tájékoztat róla a The Wall Street Journal. A biztonsági rés lényege, hogy az alkalmazások fejlesztői API kapcsolaton keresztül hozzáférhettek az apphoz kapcsolódó felhasználók ismerőseinek profiladataihoz. Méghozzá abban az esetben is, ha az adatok nem voltak nyilvánosak.

google_plus_titkos

A megszerezhető adatok között szerepelt a felhasználó teljes neve, email címe, születési dátuma, neme, profilfotója, korábbi lakóhelyei, foglalkozása és kapcsolati státusza. Viszont az esetleges támadók nem szerezhették meg a felhasználók telefonszámait, email címeit, bejegyzéseit, privát üzeneteit, G Suite tartalmait vagy bármilyen más kommunikációs adatot.

A hibát a Google még márciusban kijavította, csak éppen a felhasználók tájékoztatása és a hatóságok értesítése maradt el. A biztonsági rés felfedezésére egyébként a Project Strobe kódnevű audit keretében került sor, amelyben a bevont nagyjából száz mérnök, termékfelelős és jogász a céges API kapcsolatokat ellenőrizte az elmúlt hónapokban - vélhetően a Facebook Cambridge Analytica botrányának hírére. A csapat átnézte a Google+ oldalhoz kapcsolódó API kapcsolatokat, így fedezte fel a kihasználható hibát. A rés foltozása mellett azonban a cég más szolgáltatásokban is adatvédelmi változtatásokat végez, amelyről szintén a közleményben számolt be.

Alig használták a Google+-t

A továbbiakban viszont a cég nem szeretné a közösségi oldal konzumer verziójának védelmét jobban erősíteni, hanem inkább a Google+ bezárásáról értesítette most a felhasználókat. A közlemény szerint sem a felhasználók, sem a fejlesztők körében nem terjedt el a szolgáltatás, és az alkalmazásokkal is nagyon kevesen lépnek interakcióba. Számszerűen a közösségi oldalon a konzumer felhasználók 90 százaléka jellemzően kevesebb mint 5 másodpercet tölt.

Machine recruiting: nem biztos, hogy szeretni fogod

Az AI visszafordíthatatlanul beépült a toborzás folyamatába.

Machine recruiting: nem biztos, hogy szeretni fogod Az AI visszafordíthatatlanul beépült a toborzás folyamatába.

Úgyhogy a Google a közleményben is leírja a nyilvánvalót, hogy a jövőben már nem lesz értelme fenntartani a Facebook konkurenseként induló, de csúfosan megbukott közösségi oldalt. A teljes bezárásra viszont nem a napokban, hanem majd 10 hónap múlva, jövő augusztusban fog sor kerülni. Addig a cég kifejleszti a funkciókat, és értesíti róla a felhasználókat, hogyan menthetik le a Google+ oldalra feltöltött adataikat.

Azonban a vállalati verzió megmarad, amely a Google szerint továbbra is sikeresen működik, így a Google+ vállalati pozicionálása tűnik a jövőben a legjobb megoldásnak. A közösségi oldal céges verziójában ugyanis a munkatársak folytathatnak egymással belső megbeszéléseket, miközben a vállalat központilag állíthatja be, hogy melyik munkatárs milyen csoportokhoz férhet hozzá. A Google a vállalati verzió kapcsán új funkciókat is tervez, amelyről a következő napokban újabb közleményt fog kiadni.

November 25-26-án 6 alkalmas K8s security és 10 alkalmas, a Go és a cloud native szoftverfejlesztés alapjaiba bevezető képzéseket indítunk. Az élő képzések órái utólag is visszanézhetők, és munkaidő végén kezdődnek.

a címlapról