10月8日,Google发布了有关Google+社交网络服务漏洞的信息。据该公司称,目前还无法确认有多少用户受到影响,或者未经授权的用户是否真的访问过任何数据。但为了应对这一漏洞,Google正在更改策略,修改API以及关闭Google+。
漏洞和潜在的数据破坏是否严重,在很大程度上取决于观察漏洞的角度。一些观察家认为,从人群的角度来看,这是很重要的。安全卫士网络公司的首席执行官吉姆·祖弗勒蒂说:“这不是一个群体的一部分,而是整个网络。”“这次我们讨论的是整个人群的浅层。在过去,我们谈论人群的一部分。”
这个“浅层”是另一个透镜,通过它可以看到漏洞。“这些以前没有曝光过的信息是新信息吗?很多信息都不是新的 - 它是公开的,”Distil Networks的联合创始人Rami Essaid说。“这是一个隐私问题,但它并没有像Equifax漏洞或PII中暴露的PII那样糟糕,包括Target或Home Depot [违规]中暴露的信用卡信息。”
Essaid指出,API可能是公司不愿意处理的易受攻击的组成部分。“API的使用正在激增,但围绕它们的安全性仍处于初期阶段,”他说。“当我们做一项调查,询问负责API安全的公司时,很多人都耸耸肩说他们不确定。”
关于API安全性的组织不确定性问题越来越严重。“我们将会看到更多这些东西。我们要披露信息的范围正在增加,而不是减少,”Essaid解释道。“就应用程序和移动数据之间共享的数据而言,表面区域的增长速度非常快。”
Zuffoletti说,随着脆弱的表面区域的增加,个人和组织应该更加关注安全对社交网络的影响。“如果我是社交媒体的个人用户,它会让我对所有社交网络都很认真,如果我是使用社交媒体的营销人员,我必须问我的工作是否安全以及我是否采取了正确的措施,“他说。
Lucy Security首席执行官Colin Bastable表示,从社交网络提供商的角度来看,正确的行动应该包括快速披露漏洞和漏洞。
Bastable指出,避免尴尬的愿望是可以理解的,但是这种不情愿的行为是所有社交网络提供商面临立法者和监管机构越来越严格审查的部分原因。他指的是谷歌显然早在2018年就已知道这个漏洞,并在3月份对其进行了修补,但直到本月才公开它(以及潜在的数据丢失)。
还有两个巨大的未知数:第一个是用户是否受到数据丢失的影响。谷歌称其受影响API的日志仅保留了两周,因此它不知道在这些日志范围之外发生的情况。
第二个未知数是不知道这个漏洞是否会对监管产生影响。“我一直关注着爱尔兰,”Essaid说道,他解释说,这个欧洲国家一直在积极寻求对社交网络公司的监管行动。在GDPR的新时代,许多组织也在观望Google是否提供了新法规的第一个主要测试案例。
