Dit is slecht nieuws voor alle google+ gebruikers die dit platform een warm hart toe dragen. Google heeft aangekondigd te stoppen met Google+ als gevolg van haar review “Project Strobe”. Deze Google+ shutdown volgt op een kwetsbaarheid die gebruikersgegevens lekt. Daarnaast wijt Google deze shutdown ook aan de zeer lage gebruikersaantallen. Naar mijn mening terecht omdat Google+ in de Social Media markt weinig in de pap te brokkelen heeft, maar dat terzijde.
Datalekken door Kwetsbaarheden in de API veroorzaken Google+ Shut Down
Zoals vermeld in haar blog, is Google van plan om zijn sociale netwerkplatform Google+ van het internet te halen. Een deel van de reden achter deze beslissing is een kwetsbaarheid die persoonlijke profielgegevens van honderdduizenden klanten heeft gelekt. Dit is een lek dat te vergelijken is met het roemruchte facebook datalek, waarbij apps van derden via de Facebook API(s) niet alleen toegang kregen tot gegevens van personen die de app daarvoor geautoriseerd hadden, maar ook toegang tot gegevens van vrienden in het netwerk van de betreffende persoon. En die mensen hadden daar geen expliciete toestemming voor gegeven en dat mag niet volgens diverse internationale privacy wetten.
Ben Smith, Vice President of Engineering bij Google meldde dat een bug in de Google Plus API op een overeenkomstige wijze privégegevens van ongeveer 500.000 gebruikersprofielen heeft gelekt. Hoewel ze de bug in maart 2018 al hebben gepatcht, waarmee het probleem feitelijk is opgelost, zijn ze nog steeds van plan om Google+ uit de lucht te halen vanwege de lage gebruikersaantallen en het slepende feit dat het platform na al die jaren blijkbaar nog steeds niet in staat is een factor van betekenis te worden in de Social Media markt.
De beslissing komt als een van de eerste van vier bevindingen van het evaluatie- / auditproces van Google – Project Strobe. Smith verklaarde het doel van dit project:
“Begin dit jaar startten we een onderzoek genaamd Project Strobe … Dit project keek naar de werking van onze “privacycontrols”, platformen waar gebruikers vanwege zorgen over de privacy geen gebruik maakten van onze API's, services waar ontwikkelaars mogelijk een te brede toegang tot gegevens hadden, en andere gebieden waarop ons beleid moet worden aangescherpt. “
Wat de bug in Google+ API betreft, stellen ze:
“Uit onze beoordeling bleek dat het erg moeilijk en risicovol is om onze Google+ API's en de bijbehorende controles voor consumenten op een verantwoordelijke manier te ontwikkelen en te onderhouden. Door dit te onderkennen ontdekten we als onderdeel van de Project Strobe audit een fout in een van de Google+ People-API's. “
Dit beveiligingsprobleem heeft geleid tot het lekken van profielinformatie van gebruikers naar Google Plus-apps. De “zichtbare” informatie bevatte geen profielberichten, berichten, telefoonnummers of andere accountgegevens. Het heeft echter wel alle openbare informatie uit de profielvelden gelekt. Dit omvat gebruikersnamen, e-mailadressen, geslacht, leeftijd en beroep. Dit is hier in Europe onder de GDPR (in Nederland AVG) als een meldingsplichtig datalek te classificeren.
Google+ wordt omstreeks augustus 2019 offline gehaald- Nieuwe plannen voor Enterprise-klanten
Ben Smith bevestigde in het blogbericht dat ze de API-kwetsbaarheid al in maart 2018, onmiddellijk na ontdekking, hadden hersteld. Google heeft ook bevestigd dat ze geen enkel bewijs hebben gevonden voor mogelijke misbruik van deze bug.
“We hebben geen bewijs gevonden dat ontwikkelaars op de hoogte waren van deze bug of misbruik maakte van de API, en we vonden geen bewijs dat er misbruik is gemaakt van profielgegevens.”
Als dit waar is hoeft Google geen datalek te melden, maar er is natuurlijk een risico dat in de toekomst alsnog blijkt dat er wel degelijk persoon gerelateerde data (PII, ofwel: “Personally Identifiable Information) is gelekt
Google's eigen “practices” geven aan dat Google het API-gegevenslogboek slechts twee weken bewaart. Ze kunnen dus het exacte aantal gebruikers dat getroffen is door de bug feitelijk niet achterhalen. Google vermelde echter wél dat de profielgegevens van ongeveer 500.000 klanten zonder expliciete toestemming van de gebruiker door ongeveer 438 apps benaderd konden worden. Om deze reden én vanwege de lagen betrokkenheid van gebruikers (lees: de lage gebruikersaantallen) heeft Google besloten met Google+ te stoppen.
“De evaluatie wees uit dat de uitdagingen gepaard gaande met het creëren en onderhouden van een succesvol Google+ platform dat aan de verwachtingen van de consument zou voldoen te groot waren. Al deze overwegingen hebben geleid tot het besluit te stoppen met de consumentenversie van Google+. “
Daarnaast constateerde Google dat Google+ wél zinvol bleek voor bedrijfsdoeleinden. Daarom zijn ze van plan iets speciaals te bouwen en te lanceren voor zakelijke gebruikers.
Zoals de vlag er nu voor hangt heeft Google de algehele shut down van de Google+ service voor consumentenservice gepland in ongeveer 10 maanden wat zal neerkomen op augustus 2019. Tot die tijd kunnen gebruikers hulp van Google krijgen met betrekking tot het downloaden en migreren van hun gegevens.
