Уязвимость в социальной сети Google+ позволяла сторонним разработчикам получить доступ к аккаунтам пользователей через API с 2015 года по март 2018 года, когда баг заметили и исправили, пишет The Wall Street Journal со ссылкой на документы и людей, знакомых с ситуацией.
Во внутреннем отчете для топ-менеджеров сотрудники юридического отдела сообщали, что утечка вызовет интерес регуляторов, и сравнивали инцидент со скандалом вокруг с Facebook и Cambridge Analytica.
В отчете говорится, что хотя доказательств неправомерного использования пользовательских данных нет, нельзя утверждать это однозначно. Данные, к которым можно было получить доступ, включали в себя полные имена, адреса электронной почты, даты рождения, фотографии профиля, пол, место проживания, место работы и семейное положение пользователей. Используя API, разработчики могли получить доступ к данным пользователей, которые использовали их приложения, а также к данным их друзей в Google+, включая информацию, отмеченную в настройках приватности как непубличную.
В Google выяснили, что уязвимость могла затронуть почти 500,000 пользователей. В компании считают, что неавторизированный доступ к пользовательским данным имели 438 приложений. Ни на кого из разработчиков приложений ранее не поступало жалоб и никто из них не выглядел подозрительным.
Опасаясь, что разглашение утечки приведет к вниманию общественности и властей, внутрення комиссия пришла к решению не сообщать об инциденте публично и проинформировала об этом главу Google Сундара Пичая.
В связи с инцидентом в Google приняли решение ограничить доступ к данным через API. Компания планирует объявить об этом сегодня.