A marzo è stato il turno dello scandalo di Facebook, che porta il nome di Cambridge Analytica: i dati di più di 80 milioni di persone erano a disposizione di quella società per fare profili, comparazioni e non si sa cos’altro. E sebbene iscrivendosi a Facebook si permetta l’accesso ad una certa serie di dati, nel caso specifico tale permesso non era stato dato: a tutti gli effetti i dati sono stati rubati. Lo scandalo fu molto grosso, tanto da mandare a picco la società. Quello che non si sapeva, è che in casa Google c’era un problema analogo. Già, perché per un bug nelle API di Goolge+ per gli sviluppatori, ovvero quell’insieme di chiamate disponibili per chi vuole creare programmi che interagiscano con il social network di Mountain View, permetteva di accedere a tutte le informazioni di un profilo che avesse accettato di condividerle, ma anche di tutti i profili collegati. Numero di potenziali utenti a rischio: 500 mila. Giusto per essere giusti: parliamo delle sole informazioni pubbliche, ma che comprendono nome, cognome, email, età, sesso, occupazione. Altre informazioni sensibili, dalla password dell’account ai post visti o fatti, non erano disponibili. Ma ci sembra che la lista sia già piuttosto lunga. Ad aggravare la situazione, il fatto che il bug sia stato presente per almeno 2 anni, prima della sua scoperta a marzo. E che sembra non sia mai stato sfruttato, ma questa è solo una speculazione: le tracce per sull’uso delle API vengono tenute solo per 2 settimane. Ciliegina sulla torta: si scopre solo ad ottobre, grazie ad un post fatto da Google stessa, nel quale si giustifica la scelta di non rendere pubblico il problema:
Every year, we send millions of notifications to users about privacy and security bugs and issues. Whenever user data may have been affected, we go beyond our legal requirements and apply several criteria focused on our users in determining whether to provide notice. Our Privacy & Data Protection Office reviewed this issue, looking at the type of data involved, whether we could accurately identify the users to inform, whether there was any evidence of misuse, and whether there were any actions a developer or user could take in response. None of these thresholds were met in this instance.
Google opted not to disclose its discovery of a bug in Google+ that exposed the data of hundreds of thousands of users, a WSJ review found https://t.co/MdsCbksxod
— The Wall Street Journal (@WSJ) 8 ottobre 2018
Contromisure
Il Wsj ha citato fonti informate sulla vicenda e vicine a Google, secondo le quali a rischio compromissione vi sarebbero stati dati come i nomi e i cognomi e altre informazioni anagrafiche e di stato civile (indirizzo, data di nascita, ecc.). Preso atto del rischio corso, la società sarebbe ora in procinto di adottare nuove norme di tutela della privacy, restringendo al minimo gli accessi degli sviluppatori esterni su prodotti come il sistema operativo Android e la posta elettronica Gmail. Arriverà alla chiusura, ma questo era nell’aria già da un po’, anche lo stesso Google+, un social network che non ha fornito i benefit sperati e che non ha retto in nessun modo la concorrenza con gli altri giganti del social come Facebook.
