구글 플러스 API에서 버그 발견, 5,200만 사용자에게 위험 초래해

Bug in Google+ API Puts at Risk Privacy of over 52 Million Users

5,250만 구글 플러스 사용자의 비공개 정보가 데이터 열람 권한을 요청한 앱 개발자에게 노출 되었습니다. 해당 정보는 사용자가 비공개로 유지하도록 설정한 데이터입니다.

이 비공개 정보는 지난 11월에 6일간 노출 되었으며, 정보 제공자가 동의한 프로필 데이터에 접근하도록 만들어진 Google + People의 API의 버그로 인해 발생했습니다.

사용자가 앱에 제공하지 않겠다고 선택한 개인 데이터를 앱이 프로필 정보에 접근하도록 허용한 프로필과 공유 되었을 경우, 이 정보도 노출 되었습니다.

구글은 아무런 피해가 없었다 밝혀

구글은 루틴 테스팅 프로시져를 실행하던 중 이 프라이버시 침해 취약점을 발견했습니다. G Suite의 제품 관리 담당 부사장인 David Thacker는 이 이슈가 업데이트 후에 발생했으며, 1주일 후에 발견 및 수정 되었다고 밝혔습니다.

오늘 발표에 따르면, 그는 이 실수가 제 3자의 해킹으로 인한 결과는 아니며, 구글은 “6일 동안 앱 개발자들이 비공개 정보에 우연히 접근했거나 악용했다”는 증거는 찾지 못했다고 밝혔습니다.

구글은 People API를 사용하는 개발자들은 금융 관련 데이터, 주민 등록번호, 패스워드, 그리고 사기 또는 신상 도용을 위한 정보에는 접근할 수 없었다고 밝혔습니다.

구글 플러스 PeoPle API는 사용자의 이름, 이메일 주소, 직업, 나이, 기술, 성별, 생일을 포함한 전체 프로필 데이터에 접근하도록 합니다. 목록 전체는 구글 플러스의 People API 페이지에서 확인할 수 있습니다.

구글은 이 문제에 영향을 받은 개인 및 기업 고객들에게 연락을 취한 상태입니다.

구글 플러스, 서비스 중단 앞당겨

기대를 충족시키지 못한 구글의 이 소셜 미디어 플랫폼은 내년 8월 이미 서비스 중단이 예정 되어 있는 상태입니다.

하지만 지난 10월 이후 두 번째로 이 새로운 API 버그를 발견한 후, 회사는 구글 플러스 플랫폼의 서비스 중단 날짜를 2019년 4월로 앞당기기로 결정했습니다. 또한 모든 구글 플러스 API는 90일 내에 종료 될 것입니다.

이 기간은 사용자들이 다른 플랫폼으로 이동하기에 충분한 기간일 것입니다.

사용자들의 피해를 줄이기 위해, 구글은 그들의 플랫폼에서 데이터를 안전하게 이동시킬 수 있는 방법을 계속적으로 제공할 예정입니다.

기업 사용자들은 G Suite를 통해 구글 플러스 서비스를 계속 이용할 수 있기 때문에 위의 프로세스를 거치지 않아도 됩니다.

출처 :

https://www.bleepingcomputer.com/news/security/bug-in-google-api-puts-at-risk-privacy-of-over-52-

million-users/