Per mesi la società ha mantenuto segreto un bug che permetteva alle app di terze parti di accedere a informazioni private custodite all’interno di Google+.
di Martin Giles
La copertura: Il The Wall Street Journal riporta come Google avesse scoperto il bug nei codici di Google+ già nel mese di marzo; una volta riparatolo, però, la società avrebbe deciso di non rivelarne l’esistenza. Il giornale ha pubblicato un memo interno che dimostrerebbe come la società, preoccupata di incorrere in conseguenze analoghe a quelle che hanno interessato Facebook dopo lo scandalo di Cambridge Analytica, abbia optato di proposito per il silenzio.
Il fiasco di Facebook ha acceso i riflettori sul problema della gestione dei dati da parte di società grandi come Google. Sundar Pichai, CEO di Google, sarebbe stato al corrente della situazione.
Il bug: La falla risale al 2015 ed è stata individuata nei codici che consentivano agli sviluppatori di app esterne di accedere alle informazioni rese pubbliche sul social network utenti e dai loro contatti. Il glitch permetteva agli sviluppatori di accedere a informazioni private senza prima richiedere il permesso dei loro proprietari; fra i dati esposti figuravano indirizzi email, date di nascita, immagini del profilo, professioni e relazioni sentimentali.
Google+, meno le persone: Con un post sul suo blog, Google ha commentato la notizia pubblicata dal WSJ dicendo di non aver trovato prove che le informazioni dei suoi utenti siano state compromesse, aggiungendo che l’accesso a Google+ verrà sospeso per tutti i membri privati (lasciando evincere che una versione aziendale della piattaforma resterà attiva). Ciononostante, non è certo che i dati non siano stati violati. Stando alla società, fino a 438 applicazioni potrebbero essere riuscite ad accedervi. Secondo il WSJ, i profili di quasi 500.000 utenti sono rimasti esposti dal 2015 a quest’anno.
Le conseguenze: La copertura di una falla del genere scatenerà sicuramente la reazione dei sostenitori della privacy. Risalendo al marzo 2018, la sua scoperta non è soggetta alle nuove leggi europee sulla protezione dei dati. In caso contrario, la società avrebbe dovuto informare gli utenti del pericolo entro 72 ore dalla scoperta del bug.
Gli Stati Uniti non hanno ancora introdotto una legge sulla tutela dei dati; non è detto che Google avesse alcun obbligo di rivelare il bug. La California ha recentemente introdotto una nuova e severa legge sulla privacy contenente requisiti simili a quelli della GDPR; di certo, questo ennesimo scandalo non farà che rafforzare la spinta per una regolamentazione più severa.
(MO)