在遭遇第二个API漏洞后，谷歌宣布提前4个月关闭Google+消费者版本 | SDNLAB

谷歌今天宣布了Google+ API中的第二个漏洞，这个漏洞可能会被滥用来窃取近5250万用户的私人数据。

根据谷歌发言人的说法，这个漏洞是在内部测试之后被发现的，并没有被任何第三方利用，至少根据目前的证据是这样的。

在发现这个新的API bug之后，谷歌还决定将消费者版本Google+的关闭日期从2019年8月改为2019年4月。

谷歌此前曾宣布计划关闭Google+社交网络的消费者版本，因为该公司在10月发现了一个API漏洞，暴露了50多万用户的个人资料细节。

根据谷歌发布的一份事件报告，第二个bug位于Google+ People API端点，应用程序和开发人员用它来获取用户配置信息。

谷歌表示，该漏洞允许应用程序（被授予查看Google+个人资料数据的权限）错误地获得查看被用户设置为“非公开”的个人资料信息的权限。

攻击者可以访问的配置文件数据包括姓名、电子邮件、职业、年龄、技能、生日、昵称等信息。此外，新漏洞还会导致合作伙伴应用能够访问用户的个人数据。

谷歌补充说，更敏感的Google+数据，如财务信息、身份证号码或密码不会受到影响。

谷歌表示，这个漏洞是在11月份的一次平台更新中引入的，在工程师发现该问题之前，它只运行了6天。

谷歌现在正在通知受此问题影响的用户。“我们正在调查其他Google+ API的潜在影响，”Google表示。

除了将Google+关闭日期提前四个月，Google还表示，将在90天内关闭Google+消费者版本的所有Google+ API。

谷歌将在2019年4月以后继续通过该公司的G Suite服务提供Google+企业服务。许多公司已经采用了Google+点播平台作为内部网或Slack的替代方案。