Google trekt de stekker uit Google Plus in de nasleep van een datalek dat het bewust heeft stilgehouden. Het sociale netwerk wordt in de komende maanden afgesloten en omgevormd tot een enterprise-product.
Het was de Wall Street Journal dat maandag het nieuws over het datalek in Google Plus naar buiten bracht, enkele momenten voor Google zelf bekend maakte de stekker uit het sociale netwerk te trekken.
Volgens de berichtgeving van de zakenkrant zat er jarenlang een programmeerfout in Google Plus die de persoonlijke accountgegevens van gebruikers ongevraagd aan app-ontwikkelaars zou hebben blootgegeven. Toen Google het lek eerder dit jaar ontdekte – ten tijde van het privacyschandaal rond Facebook en Cambridge Analytica – zou het volgens bronnen van WSJ de fout in stilte hebben hersteld en verzwegen. Zo wou het een gelijkaardige PR-nachtmerrie als Facebook en onderzoek van regulatoren vermijden.
Geen misbruik
Google zegt in een verklaring dat de bug werd gevonden tijdens een uitgebreide review van zijn API’s onder de noemer ‘Project Strobe’. De lekke API in kwestie kon worden misbruikt door externe applicaties die met Google Plus waren verbonden om toegang te krijgen tot privé-informatie van die profielen, die niet publiek werd gedeeld.
“Deze data is beperkt tot statische, optionele Google Plus-profielvelden waaronder naam, e-mailadres, beroep, geslacht en leeftijd. Het bevat geen andere gegevens die je mogelijk hebt gepost of gekoppeld aan Google Plus of een andere service, zoals Google Plus-berichten, chatberichten, Google-accountgegevens, telefoonnumers of G Suite-inhoud”, verduidelijkt engineering VP Ben Smith.
Volgens Smith konden in theorie 438 apps via het lek in de API toegang krijgen tot de verborgen informatie van 500.000 accounts. Google vond tijdens zijn onderzoek evenwel geen aanwijzingen dat externe ontwikkelaars de bug hadden opgemerkt en misbruikt. Om die reden besloot de zoekreus om de bug niet publiek te maken.
“Ons Privacy & Data Protection Office heeft het probleem onderzocht, waarbij werd gekeken naar het type gegevens dat betrokken was, of we de gebruikers nauwkeurig konden identificeren om te informeren, of er enig bewijs van misbruik was en of er acties waren die een ontwikkelaar of gebruiker als reactie kon ondernemen. Aan geen van deze drempels werd in dit geval voldaan”, legt Smith uit.
Kritiek, maar ook bijval
Googles beslissing om het lek te verzwijgen is niet zonder kritiek, maar kan ook op bijval rekenen. Sommige securityspecialisten argumenteren dat het openbaar maken van een bug alleen nodig is als er bewijs is van een inbreuk.
No evidence of data leak. Should not be taken out of proportion. Bug was found and fixed. That’s it. You might even be surprised with this detail included in the public report. https://t.co/7YsjXrBTSk
— Lukasz Olejnik (@lukOlejnik) October 8, 2018
Dat neemt evenwel niet weg dat er vragen kunnen worden gesteld bij Googles motivatie. In een interne memo die WSJ in handen kreeg, klinkt het dat Google wou vermijden om “ons in de schijnwerper te zetten naast of zelfs in de plaats van Facebook, ondanks dat we gedurende het Cambridge Analytica-schandaal onder de radar zijn gebleven.” Het naar buiten brengen van het lek zou volgens de memo “bijna garanderen dat Sundar (Pichai, de CEO van Google, nvdr.) voor het Congress moet getuigen.”
The story here isn't really the potential data breach (which may affected hundreds of thousands) or that Google is shutting down Google+.
It's that Google's execs knowingly avoided disclosing an issue because they knew it'd invite gov scrutiny & bad PR. https://t.co/ZILkPrZxqC
— Ryan Mac 🙃 (@RMac18) October 8, 2018
Bovendien is Googles eigen Project Zero er niet vies van om organisaties die tekortschieten op vlak van security daar publiek op terecht te wijzen. Project Zero maakt geregeld kwetsbaarheden in producten van andere bedrijven openbaar, of die nu actief worden uitgebuit of niet.
Enterprise-product
Het lek in de API en de risico’s die er aan verbonden waren, hebben Google doen inzien dat het sop de kolen niet meer waard is. Het erkent dat het gebruik van Google Plus “zeer laag” is en heeft daarom besloten om het sociale netwerk stop te zetten. Dat gebeurt over een periode van tien maanden waarin gebruikers de kans krijgen om hun data te downloaden of te migreren.
Tegelijk betekent dit nog niet het definitieve einde van Google Plus. Google kondigt in één zucht aan dat het de service tot een enterprise-product zal omvormen voor interne communicatie binnen bedrijven.
“Uit onze beoordeling bleek dat Google Plus beter geschikt is als een bedrijfsproduct waar medewerkers kunnen deelnemen aan interne discussies over een veilig sociaal bedrijfsnetwerk. Enterprise-klanten kunnen algemene toegangsregels instellen en centrale besturingselementen gebruiken voor hun hele organisatie”, besluit Smith. Meer informatie over de enterprise-versie van Google Plus wordt op een later moment bekendgemaakt.