Google+に5250万ユーザーの非公開データをアクセスできるバグがあった

次の記事

実名グルメサービス「Retty」が月間ユーザー数4000万人を突破

Google+は、まだ元気だったころはちょっとした失敗だったが、今や生ける屍であり、単なるお荷物になりつつある。10月に50万人近いユーザーに影響を与えた重大なセキュリティー問題を公表したあと、Googleは同サービスを2019年8月に閉鎖することを発表した。しかし、事態はさらに悪化している。本日(米国時間12/10)同社は新たなプライバシー欠陥を公表した。それは先月発見され、約5250万ユーザーのデータの一部がGoogle+ APIを使ったアプリからアクセスできる状態にあった。

バグが見つかるたびにGoogle+の閉鎖日付が前倒しされるようで、Googleは今日、2019年4月にサービスを閉鎖することも発表した。Google+ の全APIが90日以内に停止する。

新たなバグが生きていたのは11月初めの6日間ほどだけで、Google+のPeople APIに関連していた。ユーザーのプロフィール情報——名前、メールアドレス、役職、性別、誕生日、交際ステータス、年齢など——を見る許可をリクエストしたアプリは、非公開に設定されているデータでもアクセスすることが可能だった。

さらに悪いことに、このデータをアクセスしたアプリは、他のGoogle+ユーザーがそのユーザーとシェアした非公開のプロフィールデータにもアクセスできた。

Googleは、このデータをアクセスできることにデベロッパーが気づいたり、何らかの方法で悪用した証拠は見つかっていないと言っている(使っているユーザーがほとんどいないソーシャルネットワークを運用していることのメリット)。さらに同社は、このデータをアプリが利用できたのは6日間だけだったことも強調した。バグは今年の11月7日から13日までの一週間に発生、発覚し修正された。

前回Googleは、バグの公表が大きく遅れたことで厳しく批判された。内部事情に詳しい人物によると、今回は内部公表プロセスを経たあと迅速に行動しており、それは会社として透明性を見せたかったことが理由のひとつだという。

「われわれは、顧客のデータを守る信頼性の高い製品を作ることでユーザーの信頼を得られることを理解している」と今日のブログ記事に同社は書いた。「われわれはこのことを常に深刻に捉えており、当社のプライバシープログラムの強化を続け、内部プライバシープロセスを改善し、データ管理を強化し、ユーザー、研究者、政策立案者のフィードバックを得てプログラムを改善していく。全員のためのプライバシー保護を構築する努力を止めることは決してない」

[原文へ]

(翻訳:Nob Takahashi / facebook