포스팅 내용

국내외 보안동향

구글 플러스, 사용자 50만명의 데이터 유출시킨 후 서비스 중단 예정

Google+ is Shutting Down After a Vulnerability Exposed 500,000 Users' Data


구글이 사용자 수십만 명의 개인 정보를 타사 개발자들에 유출 시킨 대규모 데이터 유출 사고가 발생한 이후 자사의 소셜 미디어 네트워크인 구글 플러스의 서비스를 중단할 예정입니다.


구글에 따르면, 구글 플러스의 People API의 취약점들 중 하나로 인해 타사 개발자들이 사용자 50만명 이상의 정보에 접근할 수 있었습니다. 이 정보에는 계정명, 이메일 주소, 직업, 생년월일, 프로필 사진 및 성별과 관련 된 정보 등이 포함 되어 있었습니다.


구글 플러스의 서버는 API로그를 2주 이상 저장하고 있지 않기 때문에, 구글은 얼마나 많은 사용자들이 이 취약점에 영향을 받았는지는 확인할 수 없었습니다.


하지만, 구글은 개발자들이 이 버그를 알고 있었거나, 총 438명의 개발자들 중 누구도 그들이 접근이 가능했던 프로필 데이터를 악용했다는 증거를 찾을 수는 없었습니다.


구글은 “버그를 패치 하기 전 2주 동안 이 버그를 면밀히 분석했으며, 그 결과 구글 플러스 계정 최대 50만개가 이에 영향을 받았을 수 있다는 것을 발견했습니다. 또한 최대 438개의 어플리케이션이 이 API를 사용했을 수 있습니다.”고 밝혔습니다.


이 취약점은 2015년부터 존재해왔으며, 구글은 2018년 3월 이를 발견한 후 패치 했습니다. 하지만, 구글은 이러한 사실을 대중에 알리지 않기로 결정했습니다. 당시, 페이스북은 Cambridge Analytica 스캔들로 난리였습니다.

구글은 이 보안 취약점의 기술적 정보를 공개하지 않았지만, 이 취약점의 본질은 승인 되지 않은 개발자들이 페이스북 사용자의 개인 데이터에 접근할 수 있도록 허용한 페이스북 API 취약점과 매우 유사해 보입니다.


구글은 이 보안 취약점을 인정함과 동시에, 구글 플러스의 서비스를 중지한다고 밝혔습니다.


“구글 플러스의 일반 사용자 버전은 사용 및 참여가 매우 낮습니다. 구글 플러스 사용자 90%의 사용자 세션은 5초보다 짧습니다.”


따라서, 구글은 일반 사용자용 구글 플러스의 서비스를 2019년 8월 종료하기로 결정했습니다. 하지만, 기업 사용자들은 계속 구글 플러스를 이용할 수 있습니다.


구글, 타사 앱 권한을 통한 새로운 개인 정보 제어 기능 도입


“Project Strobe”의 일환으로, 구글의 연구원들은 타사 개발자들이 구글 계정 및 안드로이드 기기 데이터에 접근하는 방식도 검토했습니다. 이에 따라 새로운 프라이버시 제어 정책을 도입했습니다.


타사 앱 개발자들이 사용자에게 그들의 구글 계정 데이터에 접근하겠다고 알릴 때, “허용” 버튼을 클릭하면 모든 권한들을 한 번에 허용하기 때문에 악성 앱들이 사용자를 속여 강력한 권한을 부여할 수 있게 됩니다.


이에 구글은 계정 권한 시스템을 업데이트 해 사용자들이 각 어플리케이션과 공유할 계정 데이터 유형을 선택할 수 있도록 했습니다.


API를 이용하면 개발자들이 Gmail 계정과 같은 매우 민감한 데이터에 접근하도록 허용할 수 있으므로, 구글은 이메일 클라이언트, 이메일 백업 서비스 및 생산성 서비스 등 직접적으로 이메일의 기능성을 강화시키는 앱들에만 Gmail API를 허용했습니다.





출처 :

https://thehackernews.com/2018/10/google-plus-shutdown.html



티스토리 방명록 작성
name password homepage