Eerder dit jaar startte Google een project om de toegang van externe ontwikkelaars tot Google-accounts te beoordelen door middel van API’s. Het ontdekte een beveiligingslek rond Google+ en sluit de service nu af, in ieder geval voor consumenten.
Het lange en korte van het probleem is dat er een beveiligingslek was waardoor externe ontwikkelaars toegang hadden tot de accountgegevens van Google+ gebruikers, waaronder naam, e-mailadres, beroep, geslacht en leeftijd, zelfs als het account was ingesteld als privé. Dit is het niet in het bijzonder gevoelige gegevens, maar hoe dan ook, een inbreuk is een inbreuk.
De bug werd ontdekt in maart 2018, maar werd verondersteld open te zijn sinds ergens in 2015. Om de zaken wat verontrustender te maken, bewaart Google het gegevenslogboek van deze specifieke API slechts twee weken … dus het bedrijf heeft geen enkele manier om het te weten welke gebruikers werden getroffen. Vermoedelijk stonden er echter zo’n 500.000 gebruikers op de lijst.
Als een positieve kant was er echter geen bewijs dat een ontwikkelaar zelfs maar wist dat deze bug bestond, ondanks 438 applicaties die de API gebruikten. Evenzo was er geen bewijs dat profielgegevens werden gestolen, verkocht of anderszins misbruikt. Dat is goed, denk ik.
De bug werd twee weken nadat deze voor het eerst werd ontdekt, gepatcht (Google had twee weken nodig om de gegevens te analyseren voordat het gat werd gepatcht), maar heeft nu besloten om Google+ als consumentenservice stop te zetten. In een blogpost van het bedrijf waarin de bevindingen worden belicht, wordt gesteld dat 90 procent van alle Google+ bezoeken minder dan vijf seconden duren. Au.
Dus in plaats van tijd, energie en geld te investeren in een duidelijk dood netwerk, zal het bedrijf het gewoon uit zijn ellende verlossen. De consumentenkant zal in augustus 2019 volledig gesloten zijn. Vanaf dat moment zal G + verder gaan als een enterprise-product, waar veel bedrijven het intensief lijken te gebruiken.
Als een ander voordeel zullen er meer gedetailleerde accountrechten beschikbaar zijn op Google-accounts. Dat betekent dat u, in plaats van alleen toegang tot uw account toe te staan ​​met één simpele knop “Toestaan”, kunt kiezen welke toestemmingen apps toegang hebben tot elke specifieke service.
Als u bijvoorbeeld uw Google-account gebruikt om in te loggen bij een nieuwe service en toegang vraagt ​​tot uw agenda en Drive, kunt u die toestemming per service verlenen of weigeren. Zie het als de toestemmingscontrole van Android, alleen voor uw Google-account. Ze beperken in de toekomst ook de toegang van apps tot uw Gmail-account, dus alleen apps die de e-mailfunctionaliteit “rechtstreeks verbeteren” (zoals e-mailclients en back-upservices) hebben toegang tot uw Gmail-berichten.
Ten slotte zal app-toegang tot oproeplogboeken en sms op Android in de toekomst beperkt zijn. Google Play beperkt de typen apps die deze machtigingen mogen aanvragen. Alleen uw standaardapp voor de gegeven situatie heeft toegang tot deze informatie. Uw standaard berichten-app heeft bijvoorbeeld toegang tot sms-machtigingen en de standaardkiezer heeft toegang tot oproeplogboeken. Maar andere apps zullen dat niet kunnen.
Al deze veranderingen vinden de komende maanden plaats, waardoor gebruikers meer controle krijgen over hun eigen gegevens. Google zal ook samenwerken met ontwikkelaars om hen de tijd te geven om de vereiste machtigingen aan te passen voor apps en services die worden beïnvloed door de wijzigingen.
Bron: Google