Kejadian phishing 2017

Pada bulan Mei 2017, serangan phishing yang menyamar sebagai e-mel berkongsi Google Docs tersebar di Internet. Serangan itu menghantar e-mel yang berpura-pura menjadi seseorang yang diketahui oleh sasaran, meminta untuk berkongsi dokumen dengan mereka. Setelah pautan dalam e-mel ditekan, pengguna diarahkan ke halaman kebenaran akaun Google yang sebenar di mana perisian phishing, aplikasi pihak ketiga bernama "Google Docs", meminta akses ke akaun Google pengguna. Setelah diberikan, perisian tersebut mendapat akses ke pesanan Gmail dan buku alamat pengguna, dan mengirim undangan dokumen palsu ke kontak mereka.[44] Serangan phishing digambarkan oleh media sebagai "besar"[45] dan "meluas",[46] dan The Next Web ' Napier Lopez menulis bahawa ia "sangat mudah untuk dijatuh". Salah satu sebab serangan itu begitu berkesan adalah bahawa mesej e-melnya melalui perisian spam dan keselamatan, dan menggunakan alamat Google yang sebenar.[47] Dalam beberapa jam, serangan itu dihentikan dan diperbaiki oleh Google, dengan jurucakap yang menyatakan bahawa "Kami telah mengambil tindakan untuk melindungi pengguna dari e-mel yang menyamar sebagai Google Docs, dan telah mematikan akaun yang menyinggung perasaan. Kami telah membuang halaman palsu, mendorong kemas kini melalui Penyemakan Imbas Selamat, dan pasukan penyalahgunaan kami berusaha untuk mencegah penipuan seperti ini daripada berlaku lagi ".[48][49] Pada hari yang sama, Google mengemas kini Gmail di Android untuk menampilkan perlindungan dari serangan pancingan data.[50][51][52] Media melaporkan bahawa, sementara perlindungan tambahan diumumkan pada hari yang sama dengan serangan itu, namun "mungkin tidak menghalang serangan minggu ini, kerana serangan itu melibatkan aplikasi palsu "Google Docs" yang dihoskan sendiri oleh domain Google". Pada awal Mei 2017, Ars Technica melaporkan bahawa "sekurang-kurangnya tiga penyelidik keselamatan" telah mengemukakan masalah mengenai ancaman tersebut, salah satunya pada Oktober 2011, dan bahawa penyerang atau penyerang di sebalik kejadian yang sebenarnya "mungkin telah menyalin teknik tersebut dari bukti konsep yang disiarkan oleh seorang penyelidik keselamatan ke GitHub pada bulan Februari". Lebih lagi, laporan itu menyatakan bahawa Google telah berulang kali diperingatkan oleh para penyelidik tentang potensi ancaman tersebut, dengan penyelidik keselamatan Greg Carson mengatakan kepada Ars Technica bahawa "Saya tidak fikir Google memahami sepenuhnya betapa parahnya penyalahgunaan ini, tetapi pastinya penggodam melakukannya".[53]

Kesalahan "Syarat Perkhidmatan" 2017

Pada bulan Oktober 2017, Google melancarkan kemas kini sisi pelayan ke pangkalan kodnya, yang mulai salah menandai dokumen rawak sebagai pelanggaran yang tidak ditentukan dari dasar "Syarat Perkhidmatan". Perbaikan dilancarkan tidak lama kemudian,[54][55] walaupun masalah ini menjadi terkenal kerana sejauh mana penguasaan Google terhadap kandungan pengguna, termasuk analisisnya terhadap kandungan dokumen, dan juga kemampuannya untuk menutup pengguna di mana-mana masa, termasuk pada saat-saat kritikal dalam bekerja.[56][57]