La empresa ESET analizó una falla en Google+ que permitía a desarrolladores de aplicaciones de terceros acceder a datos privados del perfil de los usuarios.
El error estaba presente en una actualización que fue introducida en noviembre pasado y que afectaba a la API de Google+ denominada “People:get”. Esta API, diseñada para permitir a los desarrolladores solicitar información básica asociada a la cuenta del usuario, no funcionaba como debía hacerlo y durante seis días dejó expuesta a manos de los desarrolladores información personal de 52.5 millones de usuarios, como nombre, dirección de correo, género, edad, ocupación, entre otros datos más. El bug fue descubierto por ingenieros de Google al realizar pruebas de rutina.
Si bien Google anunció en un comunicado el cierre de la red social Google+ para usuarios finales para agosto de 2019, este nuevo incidente provocó el adelanto de cierre para abril del mismo año.
La decisión del cierre se tomó, entre otras cosas, luego de descubrir a principios de 2018 una falla de seguridad, no divulgado hasta octubre, que expuso los datos de los perfiles de más de 500,000 usuarios. Este bug permitía a desarrolladores de aplicaciones de terceros acceder a datos marcados como privados del perfil del usuario enGoogle+ almacenados desde 2015, cuando debería haber permitido únicamente la información pública a la que por defecto tienen permiso de acceso las apps de terceros.
Además, esta primera falla no solo permitía a los desarrolladores acceder a información privada de un usuario, sino también la de sus amigos, dejando expuesta la información de más de medio millón de usuarios. Sin embargo, Google dijo que no tiene evidencia de que alguna de las 438 aplicaciones de terceros que utilizaron la API se hayan aprovechado el bug.
