san marco schreef op 8 oktober 2018 21:20:
Google stopt met Google+ voor consumenten na stilgehouden vondst privacybug
Google sluit Google+ voor consumenten na een onderzoek over toegang tot accountgegevens door derde partijen waarbij een ernstige privacybug aan het licht kwam. Google hield de kwetsbaarheid maanden onder de pet.
Het stoppen met Google+ voor consumenten volgt op de uitkomst van Project Strobe, een onderzoek dat Google begin dit jaar in gang zette. Dat onderzoek betrof de toegang tot Google-accounts, Android-apparaten en apps door ontwikkelaars buiten Google zelf', via api's. "Onze review toont aan dat onze Google+-api's, en het bijbehorend beheer voor consumenten, moeilijk te ontwikkelen en te onderhouden zijn", meldt Google.
Het bedrijf vond een bug in de Google + People-api, die het mogelijk maakte toegang te krijgen tot profieldata en de publieke informatie van vrienden van die persoon. Apps van derden konden zo ook bij profielgegevens waarvan de gebruiker had aangegeven dat die afgeschermd moesten blijven. Daarbij ging het om statische, optionele gegevens zoals naam, e-mailadres, werk, geslacht en of de persoon een relatie heeft.
Google claimt de bug in maart aangetroffen te hebben en die toen verholpen te hebben. Uit een analyse bleek dat potentieel 500.000 Google+-accounts kwetsbaar waren en dat 438 accounts de betreffende api gebruikte. Tegelijk erkent Google dat Google+ van slechts twee weken de logs bewaart, waarmee het werkelijk aantal kwetsbare accounts niet te achterhalen is.
Het Privacy & Data Protection Office van het bedrijf werd ingelicht over de bug, maar die concludeerde dat deze niet in de openbaarheid gebracht hoefde te worden, onder andere omdat er geen bewijs was dat de data is misbruikt of dat ontwikkelaars weet hadden van de bug. Volgens The Wall Street Journal speelde echter ook mee dat Google bang was voor reputatieschade en dat het bedrijf in het vizier van autoriteiten kwam. In die tijd speelde ook de zaak rond Cambridge Analytica, dat via een api achter gegevens van meer dan 50 miljoen Facebook-gebruikers kwam.
Google neemt tien maanden de tijd om Google+ voor consumenten te sluiten. Het netwerk is nog wel geschikt voor enterprisegebruikers, meent het bedrijf, dat erkent dat het gebruik door consumenten en ontwikkelaars erg laag is.
Project Strobe heeft er verder toe geleid dat Google gebruikers meer beheermogelijkheden voor hun Google-account geeft, met individuele dialoogvensters voor toestemming. Daarnaast limiteert Google het aantal apps dat toegang heeft tot Gmail en moeten die apps ook alleen functionaliteit op het gebied van e-mail bieden. Ook beperkt Google de mogelijkheden van apps die op Android toegang hebben tot gespreksgeschiedenis en sms en zijn contact-gegevens niet meer te benaderen via de Android Contact-api.