Баг Google+ открывал доступ к персональным данным 52,5 млн пользователей

Олег Иванов 11 Декабря 2018 - 08:26

Домашние пользователи

Корпорации

Google

Уязвимости программ

Ошибки конфигурации программ

Утечки информации

Случайные утечки

Случайное разглашение данных

...

Баг Google+ открывал доступ к персональным данным 52,5 млн пользователей

Корпорация Google подтвердила наличие проблемы безопасности сервиса Google+, которая стала причиной раскрытия данных 52,5 миллионов пользователей. Оказалось, что баг позволял разработчикам, чьи приложения использовали API Google+, получить доступ к закрытым данным юзеров.

Вместе с этим интернет-гигант напомнил: платформа Google+ закроется в апреле 2019 года. А все API сервиса будут отключены в течение следующих 90 дней.

Баг, о котором идет речь, обнаружился в начале ноября, он связан с People API Google+. В сущности, уязвимость позволяла приложениям, которые запрашивали разрешение просматривать профили пользователей, — их имена, адреса электронной почты, род занятий, пол, дни рождения, статус отношений и возраст — получать доступ к этим данным, даже если настройки указывали на то, что они должны оставаться скрытыми от третьих лиц.

Но и это еще не все — получившие доступ к этим данным приложения также могли просмотреть данные профилей тех пользователей Google+, которые поделились ими с другими. Естественно, предусмотрено, что такая информация не должна попасть в руки третьих лиц.

Положительным моментом является тот факт, что баг был актуален около шести дней, едва ли за это время большое количество разработчиков могли понять, что к чему. По сути, проблема была идентифицирована и устранена в течение одной недели — с 7 по 13 ноября этого года.

Следующая главная новость »

Vulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!

Екатерина Быстрова 08 Апреля 2026 - 14:40

macOS Ошибки конфигурации программ Домашние пользователи Корпорации

Баг macOS ломает TCP через 49 дней без перезагрузки

В macOS нашли редкий, но очень неприятный баг: если компьютер работает без перезагрузки примерно 49,7 дня, у него может постепенно умирать TCP. По версии исследователей, проблема связана с переполнением 32-битного счётчика времени в ядре XNU, который используется TCP-подсистемой.

После этого внутренние TCP-таймеры якобы перестают нормально обновляться, соединения в состоянии TIME_WAIT не очищаются, временные порты постепенно заканчиваются, и система в какой-то момент просто перестаёт устанавливать новые TCP-соединения.

При этом ping может продолжать работать, что делает сбой особенно странным. В Photon пишут, что заметили аномалию на своих macOS-машинах, которые круглосуточно используются для мониторинга iMessage-сервисов.

По их описанию, часть узлов после примерно 49 дней 17 часов 2 минут 47 секунд аптайма перестала открывать новые TCP-сессии. После перезагрузки всё возвращалось в норму, но таймер, по сути, запускался заново.

Авторы утверждают, что смогли воспроизвести поведение на двух машинах и связали его с переменной tcp_now в XNU. В открытом репозитории Apple действительно есть TCP-код ядра Darwin/XNU, где используются 32-битные значения времени и логика сравнения временных меток TCP, на которую ссылаются исследователи.

Поведения бага выглядит так: сначала ничего не ломается в лоб, но закрытые TCP-соединения перестают вовремя исчезать из TIME_WAIT. Затем их становится всё больше, временные порты забиваются, новые подключения начинают зависать в SYN_SENT, а сервисы, которым нужны новые TCP-сокеты, начинают сыпаться.

Если эта находка подтвердится, то для обычного пользователя баг вряд ли станет массовой проблемой: большинство устройств на macOS перезагружаются чаще (хотя бы из-за обновлений). А вот для долго работающих Mac mini, билд-серверов, CI/CD-ферм, удалённых рабочих станций и серверных компьютеров, которые могут жить без ребута неделями, история выглядит уже куда серьёзнее.

Если у вас есть компьютер на macOS, который работает неделями без перезагрузки и критичен для сервисов, мы бы посоветовали следить за его аптаймом.

Vulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!