Баг Google+ открывал доступ к персональным данным 52,5 млн пользователей

Олег Иванов 11 Декабря 2018 - 08:26

Домашние пользователи

Корпорации

Google

Уязвимости программ

Ошибки конфигурации программ

Утечки информации

Случайные утечки

Случайное разглашение данных

...

Баг Google+ открывал доступ к персональным данным 52,5 млн пользователей

Корпорация Google подтвердила наличие проблемы безопасности сервиса Google+, которая стала причиной раскрытия данных 52,5 миллионов пользователей. Оказалось, что баг позволял разработчикам, чьи приложения использовали API Google+, получить доступ к закрытым данным юзеров.

Вместе с этим интернет-гигант напомнил: платформа Google+ закроется в апреле 2019 года. А все API сервиса будут отключены в течение следующих 90 дней.

Баг, о котором идет речь, обнаружился в начале ноября, он связан с People API Google+. В сущности, уязвимость позволяла приложениям, которые запрашивали разрешение просматривать профили пользователей, — их имена, адреса электронной почты, род занятий, пол, дни рождения, статус отношений и возраст — получать доступ к этим данным, даже если настройки указывали на то, что они должны оставаться скрытыми от третьих лиц.

Но и это еще не все — получившие доступ к этим данным приложения также могли просмотреть данные профилей тех пользователей Google+, которые поделились ими с другими. Естественно, предусмотрено, что такая информация не должна попасть в руки третьих лиц.

Положительным моментом является тот факт, что баг был актуален около шести дней, едва ли за это время большое количество разработчиков могли понять, что к чему. По сути, проблема была идентифицирована и устранена в течение одной недели — с 7 по 13 ноября этого года.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Татьяна Никитина 25 Апреля 2025 - 18:05

Фишинг GenAI (генеративный искусственный интеллект) Общее

Активность фишеров за месяц возросла на 17% за счет использования ИИ

Согласно статистике KnowBe4, в феврале 2025 года число фишинговых писем возросло на 17% в сравнении с показателями шести предыдущих месяцев. Основная масса таких сообщений (82%) содержала признаки использования ИИ.

Подобная возможность, по словам экспертов, позволяет усилить полиморфизм атак фишеров — рандомизацию заголовков, содержимого, отправителей поддельных писем.

Незначительные изменения, на лету привносимые ИИ, позволяют с успехом обходить традиционные средства защиты — блок-листы, статический сигнатурный анализ, системы защиты класса SEG.

По данным KnowBe4, больше половины полиморфных фишинговых писем (52%) рассылаются с взломанных аккаунтов. Для обхода проверок подлинности отправителя злоумышленники также используют фишинговые домены (25%) и веб-почту (20%).

Более того, использование ИИ позволяет персонализировать сообщения-ловушки за счет динамического (в реальном времени) сбора информации об адресатах из открытых источников, а также сделать их настолько убедительными, что получатель даже не заподозрит подвох.

По данным KnowBe4, активность фишеров, освоивших новые возможности, за год возросла на 53%. Рост количества случаев использования ИИ в атаках отметили и другие эксперты. Для эффективного противодействия новой угрозе нужны более совершенные ИБ-инструменты — скорее всего, на основе того же ИИ.

Баг Google+ открывал доступ к персональным данным 52,5 млн пользователей

Читайте также