Google ha anunciado el cierre de su plataforma social Google+, su versión de consumo. El cierre ha venido motivado por una brecha de seguridad que ha puesto en riesgo los datos de medio millón de usuarios, según señalan medios estadounidenses.
Llevamos un año de ataques a datos personales como el sonado Cambrigde Analytics y Facebook, entre otros. Los datos estuvieron expuestos entre 2015 y marzo de este año cuando Google se percató del problema y lo solventó merced a un proyecto interno Strobe que le permitió descubrir el error de una API llamada ‘People’.
A continuación, transcribimos un fragmento de la carta oficial de Google, explicando el funcionamiento de la API:
“Estamos cerrando Google+ para los consumidores: A lo largo de los años, hemos recibido comentarios de que las personas desean comprender mejor cómo controlar los datos que eligen compartir con las aplicaciones en Google+. Entonces, como parte de Project Strobe, una de nuestras primeras prioridades fue revisar de cerca todas las API asociadas con Google+.
Esta revisión cristalizó lo que hemos sabido por un tiempo: mientras nuestros equipos de ingeniería han puesto mucho esfuerzo y dedicación en la creación de Google+ a lo largo de los años, no ha logrado una amplia adopción por parte de los consumidores o desarrolladores, y ha visto una interacción limitada de los usuarios con las aplicaciones. La versión para el consumidor de Google+ actualmente tiene poco uso y compromiso: el 90 por ciento de las sesiones de usuario de Google+ son menos de cinco segundos.
Nuestra revisión mostró que nuestras API de Google+ y los controles asociados para los consumidores son difíciles de desarrollar y mantener. Al subrayar esto, como parte de nuestra auditoría de Project Strobe, descubrimos un error en una de las API de personas de Google+:
• Los usuarios pueden otorgar acceso a sus datos de perfil y la información de perfil pública de sus amigos a las aplicaciones de Google+ a través de la API.
• El error significaba que las aplicaciones también tenían acceso a los campos de perfil que se compartían con el usuario, pero que no estaban marcados como públicos.
• Estos datos se limitan a campos estáticos y opcionales del perfil de Google+, incluidos el nombre, la dirección de correo electrónico, la ocupación, el género y la edad. (Consulte la lista completa en nuestro sitio para desarrolladores). No incluye ningún otro dato que haya publicado o conectado a Google+ o cualquier otro servicio, como publicaciones de Google+, mensajes, datos de cuentas de Google, números de teléfono o contenido de G Suite.
Nuestro análisis mostró que hasta 438 aplicaciones pueden haber utilizado esta API
• Descubrimos e inmediatamente solucionamos este error en marzo de 2018. Creemos que ocurrió después del lanzamiento como resultado de la interacción de la API con un cambio posterior en el código de Google+.
• Hicimos Google+ teniendo en cuenta la privacidad y, por lo tanto, mantenemos los datos de registro de esta API durante solo dos semanas. Eso significa que no podemos confirmar a los usuarios afectados por este error. Sin embargo, realizamos un análisis detallado durante las dos semanas previas a parchear el error y, a partir de ese análisis, los perfiles de hasta 500.000 cuentas de Google+ se vieron potencialmente afectados. Nuestro análisis mostró que hasta 438 aplicaciones pueden haber utilizado esta API.
• No encontramos evidencia de que ningún desarrollador estuviera al tanto de este error o de abusar de la API, y no encontramos evidencia de que los datos del perfil hayan sido mal utilizados.
