A ESET, empresa que atua em detecção proativa de ameaças, analisa um bug no Google+ que permite que desenvolvedores de aplicativos de terceiros acessem dados privados de perfis de usuários.
O erro estava em uma atualização que foi apresentada em novembro passado e que afetou a API do Google+ chamada “People:get”. Esta API, projetada para permitir que os desenvolvedores solicitem informações básicas associadas à conta do usuário, não funcionou como deveria e deixou expostas aos desenvolvedores as informações de 52,5 milhões de usuários, como nome, endereço de e-mail, sexo, idade, ocupação, entre outros dados. O bug foi descoberto pelos engenheiros do Google ao realizar testes de rotina. Depois desse novo incidente, o Google anunciou que adiantaria o fechamento da rede social, de agosto para abril de 2019.
Incidente anterior
A decisão de fechamento foi tomada, entre outras coisas, após a descoberta de uma violação de segurança que expunha os dados dos perfis de mais de 500 mil usuários. Apesar da primeira falha ter sido divulgada apenas em outubro, ela ocorreu no início de 2018. Esse bug permitiu que desenvolvedores de aplicativos de terceiros acessassem dados marcados como privados, armazenados no Google+ desde 2015, quando deveria ter autorizado somente informações públicas às quais, por padrão, os aplicativos de terceiros têm permissão de acesso.
Além disso, a primeira falha não apenas permitiu que os desenvolvedores acessassem informações privadas dos usuários, mas também de seus amigos, deixando expostas as informações de mais de meio milhão de pessoas. No entanto, o Google afirmou que não há evidências de que qualquer um dos 438 aplicativos de terceiros que usaram a API tenha se aproveitado do bug.
“O vazamento de informações confidenciais de grandes empresas está se tornando comum. O objetivo da ESET é conscientizar os usuários sobre os riscos aos quais seus dados estão expostos, portanto, a educação é o primeiro passo para se proteger. Para isso, a ESET recomenda sempre ter um duplo fator de autenticação, bem como com senhas fortes para serviços contendo dados sensíveis e soluções de segurança instaladas e atualizadas”, conclui Camilo Gutierrez, chefe do Laboratório de Pesquisa da ESET América Latina.
