 |
|
|
ESET analiza un fallo en Google+ que permitía a desarrolladores de aplicaciones de terceros acceder a datos privados del perfil de los usuarios.
El error estaba presente en una actualización que fue introducida el pasado mes de noviembre y que afectaba a la API de Google+ denominada “People:get”. Esta API, diseñada para permitir a los desarrolladores solicitar información básica asociada a la cuenta del usuario, no funcionaba como debía hacerlo y durante seis días dejó expuesta a manos de los desarrolladores información personal de 52.5 millones de usuarios, como nombre, dirección de correo, género, edad, ocupación, entre otros datos más. El bug fue descubierto por ingenieros de Google al realizar pruebas de rutina.
Si bien Google anunció en un comunicado el cierre de la red social Google+ para usuarios finales para agosto de 2019, este nuevo incidente provocó el adelanto de cierre para abril del mismo año.
La decisión del cierre se tomó, entre otras cosas, luego descubrir a principios de 2018 un fallo de seguridad, no divulgado hasta octubre, que expuso los datos de los perfiles de más de 500.000 usuarios. Este bug permitía a desarrolladores de aplicaciones de terceros acceder a datos marcados como privados del perfil del usuario en Google+ almacenados desde 2015, cuando debería haber permitido únicamente la información pública a la que por defecto tienen permiso de acceso las apps de terceros.
Además, este primer fallo no solo permitía a los desarrolladores acceder a información privada de un usuario, sino también la de sus amigos, dejando expuesta la información de más de medio millón de usuarios. Sin embargo, Google dijo que no tiene evidencia que de alguna de las 438 aplicaciones de terceros que utilizaron la API se haya aprovechado el bug.
“La filtración de información confidencial de grandes compañías se está tornado en algo común de ver. Desde ESET apuntamos a que los usuarios sean conscientes del riesgo al que se expone su información por lo que la educación es primer paso para proteger los datos. Esto debe estar acompañado de contar con doble factor de autenticación, así como con contraseñas distintas para los servicios que contienen datos sensibles y soluciones de seguridad instaladas y actualizadas”, concluyó Camilo Gutiérrez, jefe del Laboratorio de Investigación de ESET Latinoamérica.
|
