Google+ закроется из-за серьёзной проблемы с безопасностью

В официальном блоге Google написала, что закроет пользовательскую версию социальной сети Google+ в течение ближайших десяти месяцев. Решение было принято вслед за обнаружением серьёзной уязвимости в безопасности, которая позволяла получать доступ к данным пользователей и была исправлена ещё в марте 2018 года.

Поисковый гигант отдельно подчеркнул, что уязвимость позволяла получать содержимое закрытых и необязательных для заполнения полей профиля Google+ вроде реального имени, адреса электронной почты, занятий, пола и возраста. Ко всем остальным данным (публикациям Google+, сообщениям, номеру телефону или контенту G Suite) сторонние приложения доступа не имели. Более того, у Google нет подтверждений, что какой-либо разработчик обнаружил уязвимость или некорректно воспользовался скрытыми данными из профиля социальной сети.

Google говорит, что её социальная сеть в настоящее время пользуется невысокой популярностью и отличается низкими показателями вовлечённости, а 90 процентов пользовательских сеансов в Google+ занимают менее пяти секунд. Тем не менее, компания планирует сохранить сервис для корпоративных клиентов, которые используют его с целью эффективного взаимодействия между коллегами. Более того, такие клиенты даже получат новые функции, причём Google сконцентрируется на продвижении защищённой корпоративной социальной сети, что довольно странно звучит в публикации, касающейся крупной уязвимости аккаунтов.

В дополнение к сворачиванию Google+ компания объявила о более строгих настройках конфиденциальности для других своих служб. Изменения в API ограничат доступ сторонних разработчиков к Gmail и данным на устройствах Android. Разработчики больше не смогут получать доступ к журналу звонков и SMS на устройствах Android, а данные взаимодействия с контактами не будут доступны через API Android Contacts.

Масштаб доступа сторонних приложений к потребительской версии Gmail тоже будет сильно ограничен. Вице-президент по проектированию Google Бен Смит (Ben Smith) отметил: «Доступ к этим данным будет разрешён только приложениям, напрямую расширяющим функциональные возможности электронной почты, таким как почтовые клиенты, службы резервного копирования электронной почты и службы повышения производительности (например, CRM и средства объединения почтовых сервисов)».

Все разработчики, у которых есть такой доступ, должны будут пройти процедуру оценки безопасности и согласиться с новыми правилами обработки данных, например, не передавать или продавать пользовательскую информацию для целевой рекламы, исследования рынка, отслеживания кампаний через электронную почту или других не относящихся к их ПО целей. Также пользователь будет лучше информироваться о доступе сторонних приложений к любым данным его аккаунта.

Ранее Google пыталась развеять опасения относительно конфиденциальности: в начале года издание The Wall Street Journal подробно рассказало о том, насколько распространён доступ сторонних разработчиков к чтению и анализу сообщений Gmail. В то время директор отдела безопасности Google Cloud Сюзанна Фрей (Suzanne Frey) подчеркнула, что пользователи должны проверять, какие приложения имеют доступ к их учётным записям, и отключать их, если это необходимо. В прошлом году Google объявила, что прекратит свою давнюю практику целевого сканирования содержимого переписки Gmail в рекламных целях. Конечно, у компании все ещё есть много информации, с помощью которых она может сделать рекламу более точной: например, история поисковых запросов, просмотров YouTube и другие действия в Chrome.

Все последние анонсированные изменения производятся в рамках внутренней программы Google под названием Project Strobe, которая пересматривает политику по доступу сторонних разработчиков к учётным записям Google и данным Android-устройств, а также философию доступа к информации приложений.

Кстати, недавно Facebook заявила о сходной проблеме безопасности, в рамках которой злоумышленники могли получать токены доступа, используемые для авторизации сторонних приложений. Причём крупнейшая социальная сеть тоже не зарегистрировала случаев использования дыры в безопасности.