Google va fermer son réseau de médias sociaux Google+ après que la société a été victime d’une grave violation de données qui a exposé les données privées de centaines de milliers d’utilisateurs de Google Plus à des développeurs tiers.

Selon le géant de la technologie, une faille de sécurité dans l’une des API People de Google + permettait aux développeurs tiers d’accéder aux données de plus de 500 000 utilisateurs, notamment leurs noms d’utilisateur, adresses e-mail, profession, date de naissance, photos de profil et informations liées à l’égalité des sexes. .

Étant donné que les serveurs Google+ ne conservent pas les journaux d’API pendant plus de deux semaines, la société ne peut pas confirmer le nombre d’utilisateurs concernés par cette vulnérabilité.

Cependant, Google a assuré à ses utilisateurs que la société n’avait trouvé aucune preuve qu’un développeur soit au courant de ce bogue ou que les données de son profil aient été utilisées de manière abusive par l’un des 438 développeurs qui auraient pu y accéder.

« Cependant, nous avons effectué une analyse détaillée au cours des deux semaines précédant la correction du bogue, ce qui a potentiellement affecté les profils de 500 000 comptes Google+. Notre analyse a montré que jusqu’à 438 applications ont peut-être utilisé cette API », a déclaré Google dans le poste du blog publié aujourd’hui.

La vulnérabilité était ouverte depuis 2015 et avait été corrigée après la découverte par Google en mars 2018, mais la société a choisi de ne pas divulguer l’infraction au public, à l’époque où Facebook était victime du scandale Cambridge Analytica.

Bien que Google n’ait pas révélé les détails techniques de la faille de sécurité, la faille semble être quelque chose de très similaire à la faille de l’API de Facebook qui permettait récemment à des développeurs non autorisés d’accéder à des données privées d’utilisateurs Facebook.

En plus d’admettre l’atteinte à la sécurité, Google a également annoncé la fermeture de son réseau de médias sociaux, reconnaissant que Google+ n’avait pas réussi à obtenir une large adoption ou une forte influence auprès des consommateurs.

« La version grand public de Google+ a actuellement une utilisation et un engagement faibles: 90% des sessions utilisateur de Google+ durent moins de cinq secondes », a déclaré Google.

En réponse, la société a décidé de fermer Google+ aux consommateurs d’ici fin août 2019. Toutefois, Google+ restera un produit destiné aux utilisateurs d’entreprise.

Google introduit de nouveaux contrôles de confidentialité sur les autorisations des applications tierces

Dans le cadre de son « Projet Strobe », les ingénieurs de Google ont également examiné l’accès des développeurs tiers aux données de comptes Google et d’appareils Android; et a donc introduit de nouveaux contrôles de confidentialité.

Lorsqu’une application tierce invite les utilisateurs à accéder aux données de leur compte Google, un clic sur le bouton « Autoriser » approuve toutes les autorisations demandées en même temps, laissant ainsi aux applications malveillantes l’occasion d’inciter les utilisateurs à donner des autorisations puissantes.

Mais maintenant, Google a mis à jour son système d’autorisations de compte qui demande chaque autorisation demandée individuellement plutôt que tout à la fois, donnant ainsi aux utilisateurs davantage de contrôle sur le type de données de compte qu’ils ont choisi de partager avec chaque application.

Comme les API peuvent également permettre aux développeurs d’accéder aux données extrêmement sensibles des utilisateurs, telles que celles du compte Gmail, Google a un accès limité à l’API Gmail uniquement pour les applications qui améliorent directement les fonctionnalités de messagerie, telles que les clients de messagerie, les services de sauvegarde et les services de productivité.

Les actions de Google ont chuté de plus de 2% à 1134,23 USD après les rapports de violation de données.

Swati Khandelwal

Traduction : MIRASTNEWS

Source : The Hackers News

---

Google+ va fermer après la dissimulation d’une fuite de données sur trois ans

CC BY-SA 2.0 / Esther Vargas / Google

Google va fermer son réseau social après une grave faille de sécurité qui a duré des années et qui permettait aux utilisateurs d’accéder aux données de profil.

Il s’avère que Facebook n’est pas le seul géant de la technologie à souffrir d’un coup dur pour la sécurité des données des utilisateurs. Cette fois, c’est le tout-puissant Google, ou plus précisément son réseau social peu populaire appelé Google+.

Ceux qui ont utilisé le produit ont eu des données personnelles exposées à des malfaiteurs depuis 2015, selon un rapport du Wall Street Journal cité par TechCrunch. Lorsqu’un utilisateur autorisait une application à accéder à ses données de profil public, le bogue lui permettait également de saisir des champs de profil non publics, notamment les noms complets, adresses électroniques, dates de naissance, sexe, photos de profil, lieux habités, profession et statut de la relation.

Le nombre total d’utilisateurs mis en danger par le bogue serait de 496 951.

La faille de sécurité n’a été découverte et corrigée par Google qu’en mars, indique le rapport, mais la société a décidé de ne pas se présenter en public avec la brèche (rendre public la faille), car c’était exactement la même période que se profilait le scandale célèbre Facebook / Cambridge Analytica.

Publier un rapport de recherche de bogue aurait conduit Google à « prendre la vedette à côté ou même à la place de Facebook bien qu’il soit resté sous les radars tout au long du scandale Cambridge Analytica », a lu un mémo interne cité par TechCrunch.

Curieusement, quelques minutes à peine après que le WSJ ait publié son rapport sur la fuite de données, Google a annoncé qu’il fermerait Google+ au cours des 10 prochains mois, permettant ainsi aux utilisateurs d’exporter leurs données, puis de passer de G+ à un produit d’entreprise. Ceci fait partie d’une série de mesures prises à la suite de l’audit de sécurité du projet Strobe. En plus de la fermeture de son réseau social, Google retravaillera les règles de sécurité, notamment en empêchant les développeurs tiers d’accéder aux données SMS du téléphone, aux journaux d’appels et à certaines informations de contact.

Project Strobe fournit des statistiques qui font frémir les sourcils, notamment que 90% des interactions Google+ ont pris moins de cinq secondes. Apparemment, la seule interaction de la grande majorité des utilisateurs avec le réseau social consiste à appuyer sur un bouton pour fermer les fenêtres de dialogue de connexion.

« Cet avis a cristallisé ce que nous savions depuis longtemps: à savoir que nos équipes d’ingénieurs ont consacré beaucoup d’efforts et de dévouement à la construction de Google+ au fil des années, il n’a pas été largement adopté par les consommateurs ou les développeurs, et a constaté une interaction limitée des utilisateurs avec les applications », indique le rapport de Project Strobe.

Dans une tentative de contrôle des dommages, Google a spécifiquement déclaré que le bogue ne permettait pas aux auteurs d’accéder aux messages ou aux publications des utilisateurs. La société a également affirmé n’avoir « trouvé aucune preuve qu’un développeur soit au courant de ce bogue, ou abusant de l’API » et qu’ils « n’ont trouvé aucune preuve que des données de profil aient été utilisées à mauvais escient », écrivant « aucune preuve » en gras, à deux reprises.

Selon TechCrunch, Google évitera vraisemblablement l’amende de 2% de son chiffre d’affaires annuel mondial pour avoir omis de divulguer le problème dans les 72 heures. Cependant, le site Web indique que la société pourrait toujours faire face à des poursuites judiciaires et à des réactions négatives du public.

Google est resté au-dessus de la plupart des scandales centrés sur Facebook et Twitter de ces derniers mois, en partie en affirmant que G+ n’était « pas vraiment un réseau social », indique le TechCrunch. Bien que cette fois-ci, la compagnie pourrait finir par témoigner devant le Congrès, tout comme Mark Zuckerberg sur Facebook.

Traduction : MIRASTNEWS

Source : Sputnik News