Il 10 dicembre 2018 Google ha rivelato che Google+, lo (sfortunato) social network, ha nuovamente rischiato di subire una importante fuga di dati, costringendo il gigante hi-tech a chiudere anticipatamente quattro mesi prima della data già programmata, l’aprile 2019 anziché l’agosto 2019.
L’API da cui è nato il bug di Google+
Google ha dichiarato di aver scoperto un’altra vulnerabilità particolarmente critica in una API che permetterebbe agli sviluppatori di rubare informazioni private di circa 52,5 milioni di utenti, tra cui nome, mail, indirizzo, occupazione ed età.
L’API in questione, per esattezza, si chiama “People:get”, progettata e realizzata per permettere agli sviluppatori di richiedere informazioni base associabili a un determinato profilo utente.
L’aggiornamento della piattaforma di Novembre ha inavvertitamente creato il bug nell’API “People”, che ha permesso alle app di visualizzare le informazioni degli utenti anche nei casi in cui gli utenti avessero settato il profilo come “non pubblico”.
Gli ingegneri della grande G hanno scoperto la falla di sicurezza durante test standard e hanno fornito informazioni utili dopo meno di una settimana dalla nascita del bug.
Ti sta piacendo l’articolo? Iscriviti alla newsletter di Noi Sicurezza per ricevere altri consigli interessanti sulla sicurezza! (promettiamo di non essere troppo invadenti 😉 Buona continuazione di lettura!
[wysija_form id=”1″]
Potenziale data breach di dicembre: il comunicato di Google
Google ha dichiarato che non ci sono evidenze che la vulnerabilità sia stata sfruttata da malintenzionati o che le informazioni degli utenti siano state utilizzate illecitamente in app di terze parti.
Di seguito la dichiarazione ufficiale di Google
“Nessuna terza parte ha compromesso i nostri sistemi e non abbiamo notizia che gli sviluppatori di app – accedendo nei 6 giorni in cui eravamo a conoscenza del problema – abbiano utilizzato impropriamente i dati o fossero a conoscenza del bug”.
Google ha anche assicurato i suoi utenti che password, dati finanziari, documenti d’identità e altri dati sensibili non sono stati esposti a questo bug dell’API.
Il secondo problema di sicurezza in pochissimi mesi
A ottobre, Google svelò un altro potenziale data breach massivo che espose i dati di più di 500.000 utenti G+ a sviluppatori di terze parti, annunciando che avrebbe chiuso il social network di Mountain View entro la fine dell’agosto 2019, causa il fallimento nella diffusione tra i propri clienti e consumatori.
Google dichiara: “la nostra revisione ha mostrato che G+ è più utile come prodotto aziendale dove colleghi posso impostare discussioni interne in un social network aziendale sicuro”. Quest’ultimo punto è molto indicativo perché ci fa capire dove Google andrà a puntare nel medio-lungo periodo, il mondo dei social network aziendali.
Quali sarà il futuro? Nel frattempo questo nuovo data breach ha accorciato i tempi di chiusura di ben quattro mesi.
Social network & C. e utilizzi impropri nelle aziende
Uno dei principali problemi di sicurezza, forse il principale, è dato dall’utilizzo maldestro degli strumenti informatici da parte dei dipendenti. Sicuramente Facebook & C., ma non solo: le mail sono uno dei vettori di infezione privilegiati con dipendenti che inoltrano messaggi arrivati alla casella di posta privata verso la mail aziendale, ma che portano con sé allegati malevoli o potenziali phishing.
In questi casi, firewall e antivirus non sono più sufficienti: la sicurezza informatica gestita, invece, consente alle aziende di intervenire subito per tappare la falla informatica. Esperti informatici esterni che rilevano anomalie nella rete aziendale, come ad esempio trasferimenti massivi di dati al di fuori dell’emisfero aziendale.
Vuoi analizzare il livello di rischio causato da comportamenti impropri o conoscere i vantaggi della sicurezza informatica gestita?
CHIEDI INFORMAZIONI