雖說 堪稱半死不活的 Google+ 社群服務會步入關閉之路並不令人感到任何意外,然而最終退場的原因居然會是這樣的走法… 據稱官方在新的資安檢查機制 Project Strobe 的徹底檢查下,發現此服務的 API 有著洩漏基本資料的 Bug,而且是早在半年前就發現… 受影響的使用者數量高達 50 萬人,並且有高達 438 個應用使用了此 API。更離奇的是,雖然這問題已經即時修補,但官方在考量了服務使用率過於低落的狀況下,最終在今天宣布 Google+ 個人版明年關閉 的決定。
Google+ 個人版明年關閉 ,想不到 Google 不僅產品狂洩密連用戶個資…
有意思的是根據 TNW 與 The Verge 的消息指出,其實在 Google 正式發佈發現資安問題的消息之前,華爾街日報就已經搶先揭露了 Google+ 在今年 3 月時有因漏洞洩漏用戶姓名、Email、地址、職業、性別與年齡資訊的問題發生,之後沒多久,Google 便宣布了關於 Project Strobe 查到 Google+ 的問題,並且在考量使用率低下難以符合消費者期望的狀況後,選擇於明年 8 月底關閉個人版的 Google+ 社群服務。
然而這個自今年 3 月就發現的洩漏問題,居然就這麼剛好隱瞞到 WSJ 報導揭露後 24 小時內,官方也剛好貼出 Project Strobe 的說明頁面,並表示未通知用戶,是因為考量各種因素之下,並沒有達到應通知的門檻。但據報導稱,Google 之所以將此問題隱瞞半年的時間,是因為「擔心引起監管單位的審查以及名聲受損的問題」。這裡姑且不論到底 Google 是否真如報導所說的懼怕政府的監察(自然,這件事被揭露之後也是逃不了了),但就這麼剛好在報導揭露之後才剛好公布這個洩漏問題… 只能說,不再在企業準則裡強調 Don’t be evil 的確是近期做過最正確的決定。
另一個讓人有點歪頭的邏輯,是在 Project Strobe 的長篇說明裡,Google 強調並未發現任何證據指向有任何消費者發現 / 利用這個 API Bug,以及這些個資被利用。不過再去看前一個說明,則是提到了「由於注重個資的關係」他們的 API Log 記錄僅會存放兩週的時間,所以因此 Google 並「無法確認哪些使用者受此 Bug 的影響」,所以並沒有對用戶做出及時的通知 — 以上,小編只有一個大大的問號,所以是在這兩週之內沒有任何證據指出有問題這樣?然而 Google 還是有利用分析確認這次受影響的用戶數,最多 50 萬名,並有最多 438 個應用使用過這個 API。
是說,在倒數 10 個月即將關閉的這個關頭,Google 也終於承認了 Google+ 的超低使用率,表示現階段約有 90% 的使用者,上線的使用的時間不超過 5 秒。所以如果說開發者或者駭客都沒有發現並利用這個大漏洞,個人也是信了,只是總覺得從各種層面來看,都是相當哀傷的一件事情啊(遠望)。
也許是這次事件的教訓,總之 Google 也在這篇文章中提到了針對 API 的新政策,包括限制開發者對 Android 裝置(電話 log 與 SMS 權限)與 Gmail 的資料存取權等。雖然看似已正面面對並解決了這些問題,只是無論 Google 到底是因為何原因而隱瞞此資訊到半年之後的現在,監管單位應該還是會很快地就找上門了才是(敲敲門),畢竟看到 Facebook 因為個資洩漏問題而鬧出這麼大風波,這次 Google 的狀況應該很難就這樣完全脫身了(吧)。
另外,如果連消費級的產品都維護成這樣,接下來依然將面向企業端的 Google+ 到底會有多少企業願意繼續使用,也是個問題… 必須說,這的確對 Google 在個人心目中的印象有很大的扣分,不知道各位讀者是否也有相同感覺呢?