Un problema in Google+ scoperto dalla stessa Google lo scorso marzo avrebbe esposto i dati di 500mila utenti, ma la società non lo aveva reso pubblico sino a ieri. Lo ha fatto sulla scorta di una notizia data dal Wall Street Journal.
Il problema nel software di Google+ risalirebbe al 2015 e avrebbe consentito a produttori di app di vedere i dati sensibili degli utenti del social network di Google.
La spiegazione di quanto accaduto da parte di Google è stata affidata al Vice President of Engineering Ben Smith, sul blog della società.
“Molte app, servizi e siti Web di terze parti – spiega Smith – si basano sui nostri servizi per migliorare i telefoni di tutti, la vita lavorativa e l’esperienza online. Nel corso degli anni abbiamo continuamente rafforzato i nostri controlli e le nostre politiche in risposta a revisioni interne periodiche, feedback degli utenti e aspettative in continua evoluzione sulla privacy e sulla sicurezza dei dati“.
“All’inizio di quest’anno – prosegue Smith – abbiamo avviato un’iniziativa chiamata Project Strobe, che consiste in una revisione radice dell’accesso degli sviluppatori di terze parti all’account Google e ai dati dei dispositivi Android e della nostra filosofia sull’accesso ai dati delle app. Questo progetto ha esaminato il funzionamento dei nostri controlli sulla privacy, piattaforme in cui gli utenti non interagivano con le nostre API a causa di preoccupazioni sulla privacy dei dati, aree in cui agli sviluppatori potrebbe essere stato concesso un accesso troppo ampio e altre aree in cui le nostre politiche dovrebbero essere rafforzate“.
Smith comunica così i primi quattro risultati e le conseguenti azioni di questo audit che coinvolge Google+.
Dato che esistono sfide significative nella creazione e nel mantenimento di un prodotto come Google+ che soddisfi le aspettative dei consumatori, questo prodotto viene interrotto
“Nel corso degli anni – spiega Smith – abbiamo capito che le persone vogliono capire meglio come controllare i dati che scelgono di condividere con le app su Google+. Pertanto, come parte di Project Strobe, una delle nostre prime priorità è stata la revisione approfondita di tutte le API associate a Google+“.
E c’è anche spazio per un’ammissione sullo scarso utilizzo del social: “se da un lato i nostri team di ingegneri hanno dedicato molto impegno e impegno alla creazione di Google+ nel corso degli anni, dall’altro non ha raggiunto un’ampia adozione da parte dei consumatori. La versione consumer di Google+ ha attualmente un utilizzo e un coinvolgimento bassi: il 90% delle sessioni utente di Google+ è inferiore a cinque secondi”.
Il problema in Google+ People
In sostanza, le API di Google+ e i relativi controlli per i consumatori sono difficili da sviluppare e mantenere. E come parte dell’audit di Project Strobe, Google ha scoperto un bug in una delle API di Google+ People.
Gli utenti possono concedere l’accesso ai propri dati del profilo e le informazioni del profilo pubblico dei propri amici alle app Google+ tramite l’API.
Per via del bug anche le app avevano accesso ai campi del profilo che erano condivisi con l’utente, ma non erano contrassegnati come pubblici.
Questi dati sono limitati a campi di profilo Google+ opzionali, inclusi nome, indirizzo email, professione, sesso ed età.
Smith dice che il bug è stato scoperto e immediatamente corretto nel marzo 2018. “Riteniamo che si sia verificato dopo il lancio a seguito dell’interazione dell’API con una successiva modifica del codice di Google+“.
Ancora: “abbiamo privilegiato la privacy di Google+ pertanto conserviamo i dati del log dell’API solo per due settimane. Ciò significa che non possiamo confermare quali utenti sono stati interessati da questo bug. Tuttavia, abbiamo eseguito un’analisi dettagliata nelle due settimane precedenti la patch del bug e, da tale analisi, i profili di fino a 500.000 account Google+ erano potenzialmente interessati. La nostra analisi ha mostrato che fino a 438 applicazioni potrebbero aver utilizzato questa API. Non abbiamo trovato alcuna prova del fatto che uno sviluppatore fosse a conoscenza di questo bug o abusasse dell’API e non abbiamo trovato alcuna prova che i dati del Profilo fossero stati utilizzati in modo improprio“.
In sostanza l’audit ha fatto capire a Google quali sono le sfide significative nella creazione e nel mantenimento di Google+ al livello delle aspettative dei consumatori. E considerate queste sfide e il bassissimo utilizzo della versione consumer, è stato deciso di deciso chiuderla.
Google+ consumer chiuderà in agosto 2019
Per dare alle persone il modo di esportare le proprie informazioni, Google spegnerà il social in un periodo di 10 mesi, entro la fine dell’agosto del prossimo anno.
Nei prossimi mesi fornirà ai consumatori informazioni aggiuntive, compresi i modi in cui possono scaricare e migrare i propri dati.
Allo stesso tempo, dice Smith, ci sono clienti aziendali che trovano un grande valore nell’utilizzo di Google+ all’interno delle loro aziende. “Il nostro audit ha dimostrato che Google+ è più adatto come prodotto aziendale, in cui i colleghi possono impegnarsi in discussioni su un social network aziendale sicuro. I clienti aziendali possono impostare regole di accesso comuni e utilizzare i controlli centrali per l’intera organizzazione. Abbiamo deciso di concentrare qui i nostri sforzi e lanceremo nuove funzionalità appositamente create per le aziende. Condivideremo maggiori informazioni nei prossimi giorni“.
Le altre azioni di Project Strobe connesse all’audit che ha riguardato Google+ riguardano il varo di autorizzazioni più dettagliate sull’account Google che verranno visualizzate nelle singole finestre di dialogo, l’aggiornamento della policy sui dati utente per l’API Gmail e la limitazione della capacità delle app di ricevere le autorizzazioni di registro delle chiamate e SMS sui dispositivi Android, e non saranno resi più disponibili i dati di interazione dei contatti tramite l’API Contatti Android.
