连谷歌和Facebook都难免漏洞,社交APP在瑟瑟发抖

发布日期:2018-10-10 点击次数:
  一大早醒来,狗哥例行翻阅网安圈新闻,就被两条重量级的公司给炸到了。
  一家是谷歌,另外一家是老牌信息泄露商——Facebook,又名非死不可。
  它哥俩之所以称为重量级,大概不需要多说。根据最新全球公司市值排名,Facebook以4628亿美元排名全球第七,谷歌以7640亿美元位列第二。
  或许是有钱的地方,就如同蛋缝,难免会遭一团又一团的苍蝇盯缠。故而这两家巨头的负面新闻也是屡见不鲜。
  谷歌家大业大霉运也大
  据华尔街日报10月8日报道,谷歌旗下社交网络服务Google+爆出安全漏洞,可能多达50万用户的个人信息被泄漏。然而据称,谷歌其实早在2018年三月份就已经发现了这个安全漏洞,只不过由于担心监管审查和声誉受损,谷歌竟然一直没有披露这个问题。
  随着这一消息公诸于世,谷歌母公司Alphabet也不负众望,股票应声下跌超过2%。
 
  诸位可不要小觑这2%,对于谷歌7000多亿美元的市值来说,就是150多亿美元。
  要知道,漫威10年也不过赚了175亿美元,在2018年全球富豪排行榜上,150多亿美元可以排进80多名。那狗哥的身家与谷歌下跌市值一平均,狗哥也有75亿美元的财富,可以位列全球富豪榜第225名。
  不过,谷歌这么做,也是有自己的理由。谷歌在其官方博客中写道,何时通知用户隐私和安全漏洞,取决于所涉及的数据类型,包括是否可以准确识别通知对象,是否有滥用证据,以及是否存在用户可以采取任何响应的操作。基于这些判断,Google+的漏洞并没有立即向用户发出安全警告。
  然而,根据谷歌法律和政策工作人员编写的一份备忘录显示,领导层也担心会引发潜在的隐私丑闻。
  据称,备忘录警告高级管理人员,该漏洞的消息如果披露,将会像Facebook的剑桥Analytica泄密丑闻一样,导致“直接监管利益”。
  其实关注网安圈的大抵都知道,今年这个圈子里浪涛汹涌,好似有数枚巨型炸弹在接二连三地爆炸。谷歌,Facebook,Twitter和其他科技公司,纷纷陷入干预选举、泄漏数据隐私等事件,并接受众议院和参议院各个委员会的质询。
  紧接着,美国总统特朗普对谷歌等大型科技公司发表批评意见,让很多人寝食难安,庆幸的是美国政府暂时尚未提出任何形式的实际监管。
  随后,谷歌在海外也遇到了不小的麻烦,欧盟因谷歌通过Android系统阻碍市场竞争,而处以创纪录的50亿美元罚款。谷歌有再大的怨言,也只能打落牙齿往肚里吞。
    谷歌历年隐私争议
  2004年:Gmail
  Gmail扫描邮件并销售与其内容相关的广告,隐私组织认为这违反了用户信任。谷歌回应说,其他电子邮件提供商已经在使用计算机扫描电子邮件,以防止垃圾邮件和黑客攻击,显示广告有助于抵消免费服务的成本。2014年,谷歌停止扫描学生、企业和政府用户的收件箱,并且去年表示正在暂停所有Gmail扫描广告。
  2010年:Buzz
  Google Buzz公开显示用户的联系人列表,导致联邦贸易委员会进行调查。Google于2011年与FTC达成和解,并同意接受该机构20年的隐私审核。在和解时谷歌表示,Buzz的推出“未达到我们通常的透明度和用户控制标准。”
  2010年:街景
  谷歌称其街景摄像车在驾驶时通过无线网络收集私人数据。因此,Google停止在某些国家/地区收集街景图像。
  2013年:眼镜
  谷歌眼镜是一种具有录制视频功能的可穿戴式电脑耳机,当人们开始将它们佩戴在浴室等私人空间时,有人将其视为隐私侵犯。谷歌停止向消费者销售该设备,并为专业人士进行了重组。
  2013年:棱镜
  泄密事件显示,谷歌是一项名为Prism计划的一部分,该计划允许美国国家安全局收集有关互联网用户的数据。谷歌否认曾经让政府直接访问其服务器。
  2018年:YouTube
  隐私组织指责YouTube违反了保护儿童隐私的联邦法律,收集了13岁以下用户的数据。该公司表示,未满13岁的用户不得使用YouTube。
  2018年:Android
  美联社发现谷歌收集 Android用户的位置数据,即使他们的“位置历史”被关闭,结果误导了隐私组织和立法者。谷歌告诉美联社,他们对位置工具的描述很清楚。
  2018年:Google+
  一个软件错误让外部开发人员访问了50万Google+用户的私人资料数据,高管决定不通知公众,部分原因是担心受到监管机构的审查。
  Facebook二进宫怕要怀疑人生
  据央视新闻报道,近日,美国社交媒体巨头Facebook遭遇了大规模用户数据泄露,近5000万用户的账户可能遭遇入侵、甚至盗用。Facebook管理者得知此消息时,大概是一脸懵逼的,因为这已经是他们今年第二次遭遇用户数据泄露。
  上一次数据泄露,各种信誓旦旦话语、保护措施的动作还历历在目,没想到现在又摊上类似的事,狗哥颇为怀疑,究竟是Facebook的防护不够细密,还是黑客攻击手段太过强大?
  对此,Facebook发文指出,一名黑客利用其社交平台的安全漏洞,入侵了大量的Facebook账号,并称事件与登入代码(access token)被盗取有关。
  据了解,登入代码如进入账号的“钥匙“,能让用户在每次使用手机应用时,无需再登录一次。Facebook方面说:“这允许他们(指黑客)盗取登入代码,让他们可以用来霸占他人账号。”
  报道称,目前尚不清楚这次大规模攻击所造成破坏的程度,也不清楚攻击者是否访问了Facebook用户的个人信息。
  Facebook首席执行官马克·扎克伯格(Mark Zuckerberg)表示,Facebook已经在安全措施方面投入了大量资金,但将加大力度锁定Facebook用户的账户。“这里的现实就是我们面临不断的攻击,我们需要采取更多措施来防止这种情况发生……到目前为止,我们的初步调查并未显示这些口令被用于访问任何私人消息或帖子或向这些帐户发布任何内容。当然,这可能随着我们深入了解而出现改变。”
  当地时间10月3日,位于爱尔兰的Facebook欧洲总部也开始对本次事件展开调查,爱尔兰数据保护委员会正在考虑对Facebook进行处罚。
  不过,狗哥关注的是,今年5月25日,欧盟出台了《通用数据保护条例》,被称为史上最严厉的隐私保护条例,能否得到有效执行,让人颇为好奇。
  据新出台的《通用数据保护条例》显示,违反隐私法将面临数额巨大的惩罚:全球最高收入的4%或2000万欧元(以较高者为准)。Facebook去年销售额为406.5亿美元,或将面临16.3亿美元罚款。
  据悉,此安全漏洞自2017年7月就一直存在,2018年9月25日被识别,9月27日侦测到。Facebook表示,目前已经重置了5000万个账户,出于预防考虑,还额外重置了4000万个用户的账户。
  不过Facebook表示,用户无需重置密码。
  谷歌也是社交平台出了事
  颇为巧合的是,此次这两大巨头漏洞导致的信息泄露,均发生在社交平台(当然,Facebook本身就是全球大型社交平台)。
谷歌首席执行官Sundar Pichai
  2011年,谷歌推出了自家的社交网络平台,意欲瓜分天下,然而就像微软推广自家手机系统一样,这一路走得颇为艰难。
  故而到2015年时,谷歌社交平台被分解为单独的产品。谷歌的博客文章指出,普通用户版本目前使用率和黏性都比较低,90%的用户会话持续时间少于5秒。
  不过,虽然谷歌社交平台没有Facebook那么人多势众,但也聚纳了一部分忠实粉丝。然而,不知道是不是这个平台在谷歌心目中的份量不够重,导致被人掏了漏洞。
  据悉,这次谷歌爆出的安全漏洞,可能会导致多达50万个 Google+用户的姓名、性别、电子邮件、职业和年龄等信息被第三方开发者恶意使用,不过这些隐私数据不包含与个人通信或电话号码相关的任何信息。
  谷歌官方博客对数据泄露作出说明
  谷歌称,有 438 个应用程序可能使用了可获取用户隐私信息的应用程序接口,但他们并没有发现任何开发人员滥用这些信息的证据。作为回应,谷歌表示将在未来十个月内关闭 Google+的所有用户功能,但企业版用户仍可将其作为企业内部员工沟通的平台。
  据一位内部律师表示,法律并未要求谷歌向公众披露此事件。而且该公司不知道开发者们可能拥有哪些数据,也不确定通知用户会给用户带来任何可行的好处。但有相关人士表示,谷歌也可能因其不披露此事件的决定而面临集体诉讼。
  据外媒报道,谷歌9号宣布,面向普通消费者的Google+服务将于2019年8月正式下线。未来的8个月,将是用户的冷静期,包括备份数据、做“撤离”准备等。
  不过,Google+并不会完全消失,而是将作为一款企业沟通产品经营,用于“to B”端。
  为何社交网站成是数据泄露重灾区
  狗哥搜索整理相关新闻发现,近几年来,数据泄露的重灾区为社交平台。
  只要搜索数据泄露,各种社交平台的泄露数据事件便赫然在前,LinkedIn、MySpace、Tumblr、VK.com、Twitter等社交网站相继被黑客攻陷,大量用户数据在黑市倒卖。暗网中,也常见售卖这些数据的帖子。
  我们常用的微信、QQ、微博等社交平台,也多次曝出账号被盗、信息泄露、钱财被骗等新闻,真是让人心惊肉跳。
  为何黑客偏爱社交平台?狗哥觉得,社交网站和互联网科技公司的主要业务集中在线上,注册用户相对多,用户信息较为完善,且具有很强的隐私性,进而满足了黑客对这些信息的窥探欲与占有欲。只要攻破数据库,等于挖掘到了一座庞大的宝藏,付出成本远远小于获取的利益。
  此外,社交网站的平台用户群体数量庞大,即时性强,个人信息更新速度快,网络账号与密码设置有规律可循,很容易成为黑客攻击的目标。
  还有,社交产品总是在不断创新升级,几乎是走在互联网与用户需求的前沿,其所涵盖的数据类型及涉及内容十分复杂,且又具有强大的营销变现价值,大大满足了地下黑色产业链的需求。
  打开应用市场,社交类的APP数不胜数,动辄几百万、上千万的下载量。狗哥不禁忧虑:连千亿级的企业谷歌、Facebook都防不胜防,这些APP对用户隐私的防护,究竟有多坚固。
  狗哥绝不希望看到,我们使用的每一款APP,都可能成为或已经成为黑产灰产搜罗用户隐私、获取财富的“伪装者”。
  转自:走狗是狗哥 安在
分享到:
×

微信扫一扫分享