ESET compañía líder en detección proactiva de amenazas, encuentra un fallo en Google+ que permitía a desarrolladores de aplicaciones de terceros acceder a datos privados del perfil de los usuarios.

El error estaba presente en una actualización que fue introducida en el mes de noviembre y que afectaba a la API (Interfaz de programación de aplicaciones) de Google+ denominada “People:get”. Esta API, diseñada para permitir a los desarrolladores solicitar información básica asociada a la cuenta del usuario, no funcionaba como debía hacerlo y durante seis días dejó expuesta a manos de los desarrolladores información personal de 52.5 millones de usuarios, como nombre, dirección de correo, género, edad, ocupación, entre otros datos más. El bug (fallo) fue descubierto por ingenieros de Google al realizar pruebas de rutina.

Cierre de Google+

Google anunció en un comunicado el cierre de la red social Google+ para agosto de 2019, sin embargo, este nuevo incidente provocó el adelanto de cierre para abril del mismo año.

La decisión del cierre se tomó, luego de descubrir a principios de 2018 un fallo de seguridad, no divulgado hasta octubre, que expuso los datos de los perfiles de más de 500.000 usuarios. Este bug (fallo) permitía a desarrolladores de aplicaciones de terceros acceder a datos marcados como privados del perfil del usuario en Google+ almacenados desde 2015, cuando debería haber permitido únicamente la información pública a la que por defecto tienen permiso de acceso las apps de terceros.

Además, este primer fallo no solo permitía a los desarrolladores acceder a información privada de un usuario, sino también la de sus amigos, dejando expuesta la información de más de medio millón de usuarios. Sin embargo, Google dijo que no tiene evidencia de que alguna de las 438 aplicaciones de terceros que utilizaron la API se hayan aprovechado el bug (fallo).

“La filtración de información confidencial de grandes compañías se está tornado en algo común. Desde ESET apuntamos a que los usuarios sean conscientes del riesgo al que se expone su información por lo que la educación es el primer paso para proteger los datos. Esto debe estar acompañado de contar con doble factor de autenticación, así como con contraseñas distintas para los servicios que contienen datos sensibles y soluciones de seguridad instaladas y actualizadas”, concluyó Camilo Gutierrez, Jefe del Laboratorio de Investigación de ESET Latinoamérica.