В октябре 2018 года стало известно, что компания Google приняла решение закрыть Google+ в будущем году. Конечно, одной из главных причин для этого стала общая непопулярность проекта. Попытка создать собственную социальную сеть определенно окончилась неудачей, так как даже согласно официальной статистике, вовлеченность пользователей стремится к нулю: 90% сессий длятся менее пяти секунд.
Как мы рассказывали ранее, вторым поводом для закрытия Google+ стал обнаруженный в API баг, из-за которого информация 500 000 пользователей могла пострадать от утечки (хотя нет свидетельств того, что этим багом действительно кто-то пользовался).
Теперь представители Google сообщили, что обнаружили еще одну проблему в API готовящегося к закрытию сервиса. От этой проблемы могли пострадать еще 52,5 млн человек, чьи личные данные могли оказаться в руках посторонних. Впрочем, в компании уверяют, что нет никаких оснований полагать, что эту проблему кто-либо действительно эксплуатировал.
Согласно опубликованному отчету об инциденте, баг был обнаружен в составе эндпойнта Google+ People API, который используется для получения информации о профилях пользователей. Ошибка появилась в коде в ноябре 2018 года, после очередного обновления платформы, и оставалась незамеченной лишь шесть дней. Напомню, что первый обнаруженный в API баг скрывался в коде с 2015 года по 2018 год.
Вторая ошибка позволяла приложениям (которые имели право просматривать данные профилей Google+) просматривать буквально всю информацию в профилях, включая даже те данные, которые человек отметил как «непубличные» (not-public). Полный список сведений, к которым в теории могли получить доступ злоумышленники, можно найти здесь. В него входят имя, email-адрес, возраст, дата рождения, род деятельности и так далее. К счастью, потенциальная утечка не затрагивала финансовую информацию, пароли и национальные идентификационные номера. При этом разработчики пишут, что приложения также могли иметь доступ к данным, которыми пользователь делился с другими пользователями Google+, но не хотел раскрывать публично.
Специалисты Google сообщают, что уже начали уведомлять о случившемся пострадавших. Расследование инцидента еще продолжается, и в Google не исключают, что проблема также могла затронуть и другие API.
Из-за случившегося руководство компании приняло решение перенести дату окончательного закрытия Google+. Вместо августа 2019 года проект будет закрыт на 90 дней раньше, в апреле 2019 года.
