Google ocultó la principal falla de seguridad de Google+ que expuso la información personal de los usuarios

Escrito por FonePaw,  12 Oct, 2018

Google expuso la información personal de cientos de miles de usuarios de su red social Google+, anunció la compañía en un blog esta mañana. La noticia, publicada originalmente por The Wall Street Journal antes del anuncio de Google, significa que la información del perfil de Google+, como el nombre, la dirección de correo electrónico, la ocupación, el género y la edad, fueron expuestas, incluso cuando esos datos se incluyeron como privados y no públicos. Sin embargo, Google dice que no tiene pruebas que sugieran que ningún desarrollador externo haya conocido el error o lo haya abusado. El error, que afecta a una API a la que accedieron cientos de desarrolladores, parece haber estado activo entre 2015 y 2018.

La compañía dice que cerró el error en marzo de 2018 poco después de enterarse de su existencia. El WSJ informa que la compañía optó por no reportarlo debido al temor de un "interés regulatorio inmediato" que aglutinaría a Google con Facebook, según la descripción de una fuente del incidente. En ese momento, Facebook acababa de revelar públicamente que la firma de minería de datos Cambridge Analytica había comprado ilegalmente decenas de millones de información de perfil de usuarios de un fabricante de aplicaciones de terceros, que había recopilado esa información de personas que ingresaron en un cuestionario de personalidad y concedieron inadvertidamente La aplicación accede a su lista de amigos.

Google dice que descubrió el error como parte de un esfuerzo llamado Proyecto Strobe, que se lanzó para "revisar el acceso de los desarrolladores externos a la cuenta de Google y los datos del dispositivo Android y nuestra filosofía sobre el acceso a los datos de las aplicaciones", según Ben Smith, El blog post autor y un vicepresidente de ingeniería. Como resultado de la brecha, la compañía está cerrando el elemento orientado al consumidor de Google+, observando que el 90 por ciento de las sesiones duró menos de cinco segundos. Cerca de 500,000 perfiles de usuarios se vieron afectados por la violación, señala Smith.

En la publicación, Smith da una justificación para no revelar el error anteriormente:

Cada año, enviamos millones de notificaciones a los usuarios sobre problemas y problemas de privacidad y seguridad. Siempre que los datos de los usuarios se hayan visto afectados, vamos más allá de nuestros requisitos legales y aplicamos varios criterios centrados en nuestros usuarios para determinar si se debe notificar.

Nuestra Oficina de Privacidad y Protección de Datos revisó este problema, analizando el tipo de datos involucrados, si podríamos identificar con precisión a los usuarios para informar, si había alguna evidencia de uso incorrecto y si hubo alguna acción que un desarrollador o usuario pudiera tomar en respuesta. . Ninguno de estos umbrales se cumplió en este caso.

El cierre de Google+ se llevará a cabo en el transcurso de los próximos 10 meses, que finalizará en agosto de 2019. Todavía planea hacer que Google+ esté disponible como un producto empresarial para empresas, lo cual es un movimiento curioso para un producto que tuvo un error masivo y explotable. integrado en una API central durante tres años. "Hemos decidido centrarnos en nuestros esfuerzos empresariales y lanzaremos nuevas características diseñadas específicamente para empresas. Compartiremos más información en los próximos días ", escribe Smith.