Tom's Hardware Italia
Sicurezza

Google+ chiude, ha dato accesso ai dati di 500mila persone

Google ha esposto i dati di 500.00 persone, ma non l'ha comunicato finché un giornale ha fatto emergere la questione Google+ chiuderà e sarà trasformato in un servizio enterprise Molte app web e Android funzioneranno in modo diverso Gli utenti Google avranno più controlli sui dati e sulla privacy Un bug in Google+ ha esposto […]
  • Google ha esposto i dati di 500.00 persone, ma non l'ha comunicato finché un giornale ha fatto emergere la questione
  • Google+ chiuderà e sarà trasformato in un servizio enterprise
  • Molte app web e Android funzioneranno in modo diverso
  • Gli utenti Google avranno più controlli sui dati e sulla privacy

Un bug in Google+ ha esposto i dati di circa mezzo milione di persone, e Google ha deciso di chiuderlo e convertirlo in un servizio enterprise. La decisione arriva dopo un'articolo del Wall Street Journal che denuncia come l'azienda abbia esposto i dati di mezzo milione di utenti, almeno dal 2015. L'azienda inoltre avrebbe nascosto il problema per "paura delle ripercussioni". Insieme alla chiusura di Google+ il colosso statunitense ha annunciato novità che dovrebbero servire a proteggere la privacy degli utenti, ma che potrebbero anche compromettere il funzionamento di molte applicazioni.  

Una storia che almeno in parte rimanda allo scandalo Cambridge Analytica; anche in quel caso sono stati esposti e abusati i dati degli utenti – molti di più in effetti – e Facebook non è stata abbastanza trasparente nel comunicarlo.

Depositphotos 40002665 l 2015

Nella fattispecie, pare che Google sapesse del problema almeno dallo scorso marzo; si tratterebbe di una vulnerabilità nelle API (l'interfaccia di programmazione), che permetteva agli sviluppatori di vedere nome, email, occupazione, sesso ed età dell'utente – quando non avrebbe dovuto essere possibile. Sono 438 le applicazioni che potrebbero aver usato questi strumenti, e non ci sono prove che qualcuno abbia effettivamente abusato di tali informazioni.

"Google ha avviato un'indagine interna invece che affidarsi a un consulente esterno, e ha scelto di non diffondere la notizia fino a che l'articolo del Wall Street Journal l'ha obbligata". 

Google ha affidato l'onere delle spiegazioni a Ben Smith, Vice Presidente per lo sviluppo, che ieri scriveva così su uno dei blog ufficiali: "Se i dati degli utenti sono a rischio, andiamo oltre i nostri obblighi legali e applichiamo diversi criteri incentrati sugli utenti per decidere se mandare una notifica. Il nostro Ufficio per la Protezione dei Dati ha esaminato questo problema (per capire se) era possibile identificare accuratamente le persone da informare, se c'erano prove di un abuso o se si fosse qualcosa che uno sviluppatore o un utente potesse fare in risposta. Nessuno di questi criteri era soddisfatto".

Risposta repentina

Google ha risposto all'articolo del WSJ in modo quasi istantaneo, non solo con il post di Smith ma anche con misure concrete. Una reattività ammirevole, segno che forse era già tutto pronto e si attendeva il momento migliore per diffondere le novità. La pubblicazione del WSJ ha probabilmente spinto Google solo ad accelerare i tempi.  

Una risposta che prende il nome di Project Strobe, che Google starebbe sviluppando dall'inizio del 2018. Il cuore del progetto è una revisione completa di come le applicazioni esterne possono accedere ai dati degli utenti, che si tratti di integrazioni per Gmail o di Android.

"Come parte di Project Strobe, una delle nostre priorità è rivedere con attenzione tutte le API (Application Program Interface, NdR) associate a Google+". 

Google prende anche atto della realtà: Google+ non è mai decollato, e dopo tutti questi anni si può chiudere il progetto; la sfida con Facebook, Twitter e le altre piattaforme vede Google uscire dalla porta posteriore. A questo si aggiunge il bug che permette un accesso non previsto ai dati, un problema che potenzialmente ha raggiunto 500.000 persone.

La chiusura riguarda la "versione consumer" di Google+ è il processo richiederà diversi mesi, fino ad agosto 2019. Diventerà un servizio per le aziende. "La nostra revisione mostra che Google+ è più adatto alle aziende, dove i colleghi possono partecipare a dibattiti interni su una rete aziendale sicura. I clienti aziendali possono impostare regole di accesso e usare controlli centralizzati per tutta l'organizzazione. Abbiamo deciso di concentrarci sul settore enterprise e introdurremo nuove funzioni pensate per esso."

Sembra dunque che Google+ si avvi a diventare un concorrente del popolare Slack, con una possibile integrazione nella suite professionale di Google (Docs, Sheets, Gmail con dominio personalizzato, eccetera.

Più controllo sulle applicazioni

In modo simile a quanto fa Facebook o a quanto accade quando si installa un'applicazione Android, presto potremo decidere con più precisione quali dati dell'account condividere con un'app.

bundled calendar drive max 1000x1000

"Invece di vedere tutti i permessi richiesti in un'unica schermata, le applicazioni dovranno mostrare ogni richiesta, una alla volta, in una finestra di dialogo separata. Per esempio, se uno sviluppatore vuole accesso sia all'agenda sia ai documenti su Drive, potrete scegliere di permetterne uno ma non l'altro. Gli sviluppatori possono approfondire sul Google Developer Blog".

Google pone particolare attenzione a Gmail. D'ora in poi potranno accedere solo le applicazioni che specificamente offrono un qualche miglioramento al servizio email, "come i client email, servizi di backup e servizi di produttività (come i prodotti per unire mail e CRM)". I fornitori di queste app in ogni caso dovranno sottoscrivere nuove e più stringenti regole per la gestione dei dati. In particolare, sarà concesso solo l'uso dei dati per la specifica applicazione, e proibita la distribuzione e la vendita degli stessi. Qui si sente l'eco del caso unroll.me, app che permetteva di cancellare facilmente l'iscrizione alla newsletter ma allo stesso tempo vendeva le informazioni (anonimizzate) a Uber.

Su Android arrivano nuovi limiti per l'accesso agli SMS e ai contatti. Una funzione che molti hanno usato, per esempio, durante l'attivazione di Whatsapp – l'app chiede il permesso di leggere gli SMS con lo scopo di facilitare l'inserimento del codice. Similmente, Whatsapp è una delle tante applicazioni che offrono la sincronizzazione dei contatti (come anche Facebook, Telegram, e così via) e il registro delle chiamate. Con il nuovo sistema, solo l'applicazione telefonica di default avrà questo tipo di accesso. Tornando all'esempio di Whatsapp, "le app di messaggistica potranno vedere i contatti più recenti".

Dunque potrebbe diventare molto più difficile usare app di messaggistica istantanea o VoIP con contatti presi dalla rubrica telefonica. Un aspetto ancora non del tutto chiaro, in ogni caso: sicuramente però emergeranno altri dettagli nelle prossime settimane e mesi.

Per rendere più chiaro ciò che possiamo fare, Google ha inoltre rivisto il centro di sicurezza online. Tramite il sito dedicato qui si può verificare lo stato del proprio account, con particolare attenzione alla sicurezza e alla privacy. Uno strumento che, dopo notizie come queste, acquista una nuova importanza e un nuovo interesse agli occhi di tutti noi.

Regole a autoregolamentazione?

Il bug di Google+ rappresenta solo l'ultima notizia in ordine cronologico, in una serie di avvenimenti che vede questo o quel colosso hi-tech implicato in un incidente con i dati dei propri utenti e clienti. Si è parlato di spionaggio con un microchip installato sulle motherboard, di Facebook e Cambridge Analytica, e prima ancora ci sono stati gli attacchi a Linkedin, Yahoo, Sony; la lista è molto lunga.

unbundled calendar drive taps max 1000x1000

Un panorama che secondo alcuni dovrebbe spingere i governi a imporre regole ferree a queste aziende; per il momento tuttavia godono ancora di una discreta libertà di azione, persino in Europa dove da maggio scorso vige il General Data Protection Regulation (GDPR).

Nella fattispecie, per esempio, Google non aveva l'obbligo di informare nessuno – e non l'ha fatto finché non è uscito l'articolo del WSJ. Tuttavia una pubblicazione sarebbe stata utile e opportuna secondo alcuni; Wired cita per esempio Marc Rotenberg, dell'Electronic Privacy Information Center.

"Non rivelare l'accaduto molto prima è stato un errore", dice invece l'ex procuratore Joseph Moreno, secondo cui così facendo Google sta offrendo ai legislatori statunitensi una ragione concreta per adottare regole più simili al GDPR.

Senz'altro cose del genere depongono a favore di chi chiede sempre maggiore trasparenza da parte delle industrie che possiedono (e usano) i nostri dati. Una trasparenza che, di contro, le aziende non concedono volentieri, forse per timore che se ci dicessero chiaramente cosa fanno con le nostre informazioni forse non saremmo più tanto disposti a cederle.

Quasi certamente, comunque, le contromisure poste in essere da Google non serviranno a evitare indagini da parte delle autorità statunitensi ed europee – possibilità che l'azienda voleva probabilmente evitare. Se queste indagini porteranno a sanzioni o a nuove norme, è invece tutto da vedere.