Google ferme son réseau social Google+ - faille sécurité

Avis et alertes de sécurité au jour le jour (aucune question posée dans ce sous-forum)

Modérateur: Modérateurs et Modératrices

Google ferme son réseau social Google+ - faille sécurité

Messagede pierre » 09 Oct 2018, 06:32

Google ferme la partie publique de son réseau social Google+ (auprès des consommateurs) après la découverte d'une faille de sécurité qui aurait pu donner accès aux données déclarées privées de 500.000 comptes Google+.
La partie clients professionnels est maintenue.

C'est l'API donnant accès à Google+ qui est en cause, bien que Google déclare que ce bug semble ne pas avoir été exploité.

Il semble beaucoup plus que Google profite de cette faille de sécurité qui n'aurait touché personne pour justifier la fermeture définitive de Google+ public qui n'a jamais atteint un seuil critique.

Un très long billet (en anglais) dans leur blog : https://www.blog.google/technology/safe ... ct-strobe/

Traduction partielle et automatique :

Au début de cette année, nous avons lancé une initiative appelée Project Strobe, une analyse fondamentale de l’accès des développeurs tiers aux données des comptes Google et des appareils Android et de la philosophie de notre philosophie concernant l’accès aux données des applications. Ce projet a examiné le fonctionnement de nos contrôles de confidentialité, les plates-formes où les utilisateurs n'utilisaient pas nos API en raison d'inquiétudes concernant la confidentialité des données, les domaines dans lesquels les développeurs avaient peut-être un accès trop large et les domaines dans lesquels nos règles devaient être resserrées.


Nous désactivons Google+ pour les consommateurs.

Au fil des années, nous avons reçu des commentaires indiquant que les utilisateurs souhaitaient mieux comprendre comment contrôler les données qu'ils choisissaient de partager avec les applications sur Google+. Dans le cadre du projet Strobe, l’une de nos premières priorités consistait donc à examiner de près toutes les API associées à Google+.

Cet examen a cristallisé ce que nous savions depuis longtemps: à savoir que nos équipes d'ingénieurs ont consacré beaucoup d'efforts et de dévouement à la construction de Google+ au fil des ans, mais qu'elles n'ont pas été largement adoptées par les utilisateurs ou les développeurs, et que les utilisateurs ont peu interagi avec les applications . La version grand public de Google+ a actuellement une utilisation et un engagement faibles: 90% des sessions utilisateur de Google+ durent moins de cinq secondes.

Notre examen a montré que nos API Google+, ainsi que les contrôles associés pour les consommateurs, sont difficiles à développer et à maintenir. Soulignant cela, dans le cadre de notre audit Project Strobe, nous avons découvert un bogue dans l'une des API Google+ People:

Les utilisateurs peuvent accorder l'accès à leurs données de profil et aux informations de profil public de leurs amis aux applications Google+ via l'API.

Le bogue signifiait que les applications avaient également accès aux champs de profil partagés avec l'utilisateur, mais non marqués comme publics.

Ces données sont limitées aux champs statiques facultatifs du profil Google+, notamment le nom, l'adresse e-mail, la profession, le sexe et l'âge. (Voir la liste complète sur le site de notre développeur.) Il n'inclut pas les autres données que vous avez publiées ou connectées à Google+ ou à tout autre service, telles que les posts Google+, les messages, les données de compte Google, les numéros de téléphone ou le contenu de G Suite.

Nous avons découvert et immédiatement corrigé ce bogue en mars 2018. Nous pensons qu’il s’est produit après le lancement, suite à l’interaction de l’API avec une modification ultérieure du code Google+.

Nous avons conçu Google+ avec protection de la vie privée et ne conservons donc les données de journalisation de cette API que pendant deux semaines. Cela signifie que nous ne pouvons pas déterminer quels utilisateurs ont été affectés par ce bogue. Cependant, nous avons effectué une analyse détaillée au cours des deux semaines précédant la mise à jour du bogue, qui a potentiellement affecté les profils de 500 000 comptes Google+. Notre analyse a montré que jusqu'à 438 applications peuvent avoir utilisé cette API.

Nous n'avons trouvé aucune preuve indiquant qu'un développeur était au courant de ce bogue ou de l'utilisation abusive de l'API, ni aucune preuve de l'utilisation abusive des données de profil.


NDLR : Oui... Bon... Lorsqu'ils disent "Au fil des années, nous avons reçu des commentaires indiquant que les utilisateurs souhaitaient mieux comprendre comment contrôler les données qu'ils choisissaient de partager avec les applications sur Google+.", ils ont surtout reçu des obligations légales qui ne peuvent plus être contournées, comme le RGPD.
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 28476
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Retourner vers Alertes

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 44 invités