Un fallo en una reciente actualización en Google+ expuso durante seis días información personal de millones de usuarios. Este incidente provocó que se adelante el cierre de la red social para abril de 2019.
Las noticias sobre brechas de seguridad parecen reproducirse durante estos dos últimos meses del año. Primero, la cadena de hoteles Marriott International reveló a fines de noviembre lo que fue la segunda brecha más grande de la historia con la filtración de información personal de aproximadamente 500 millones de clientes. Apenas unos días después, la plataforma de preguntas y respuestas Quora revelaba que había sufrido un incidente de seguridad en el que se había comprometido información personal de 100 millones de usuarios. Y en el día de ayer, el gigante Google se sumó a esta larga lista de incidentes de final de año al revelar que Google+, la red social que a comienzos de este año ya había expuesto información de 500,000 usuarios a raíz de un bug, volvió a exponer información personal de los usuarios.
En esta oportunidad, el error estaba presente en una actualización que fue introducida el pasado mes de noviembre y que afectaba a la API de Google+ denominada “People:get”. Esta API, diseñada para permitir a los desarrolladores solicitar información básica asociada a la cuenta del usuario, no funcionaba como debía hacerlo y durante seis días dejó expuesta a manos de los desarrolladores información personal de 52.5 millones de usuarios, como nombre, dirección de correo, género, edad, ocupación, entre otros datos más. El bug fue descubierto por ingenieros de Google al realizar pruebas de rutina.
Este nuevo incidente provocó que se adelante la fecha de cierre de la red social para abril de 2019, el cual ya estaba programado, pero para agosto de 2019.
En el comunicado, Google asegura no haber encontrado evidencia de que la vulnerabilidad provocada por el fallo haya sido explotada o que haya sido utilizada parte de la información expuesta por algún desarrollador de aplicaciones. Por otra parte, la compañía afirma que el falló no expuso contraseñas, información financiera u otro tipo de información sensible.
Fuente: WeliveSecurity