Bug in Google+ mette a rischio 500mila utenti, e Google lo chiude

Marco Bonfiglio
4

A marzo è stato il turno dello scandalo di Facebook, che porta il nome di Cambridge Analytica: i dati di più di 80 milioni di persone erano a disposizione di quella società per fare profili, comparazioni e non si sa cos’altro. E sebbene iscrivendosi a Facebook si permetta l’accesso ad una certa serie di dati, nel caso specifico tale permesso non era stato dato: a tutti gli effetti i dati sono stati rubati.
Lo scandalo fu molto grosso, tanto da mandare a picco la società. Quello che non si sapeva, è che in casa Google c’era un problema analogo.

Già, perché per un bug nelle API di Goolge+ per gli sviluppatori, ovvero quell’insieme di chiamate disponibili per chi vuole creare programmi che interagiscano con il social network di Mountain View, permetteva di accedere a tutte le informazioni di un profilo che avesse accettato di condividerle, ma anche di tutti i profili collegati. Numero di potenziali utenti a rischio: 500 mila.
Giusto per essere giusti: parliamo delle sole informazioni pubbliche, ma che comprendono nome, cognome, email, età, sesso, occupazione. Altre informazioni sensibili, dalla password dell’account ai post visti o fatti, non erano disponibili. Ma ci sembra che la lista sia già piuttosto lunga.

Ad aggravare la situazione, il fatto che il bug sia stato presente per almeno 2 anni, prima della sua scoperta a marzo. E che sembra non sia mai stato sfruttato, ma questa è solo una speculazione: le tracce per sull’uso delle API vengono tenute solo per 2 settimane. Ciliegina sulla torta: si scopre solo ad ottobre, grazie ad un post fatto da Google stessa, nel quale si giustifica la scelta di non rendere pubblico il problema:

Every year, we send millions of notifications to users about privacy and security bugs and issues. Whenever user data may have been affected, we go beyond our legal requirements and apply several criteria focused on our users in determining whether to provide notice.

Our Privacy & Data Protection Office reviewed this issue, looking at the type of data involved, whether we could accurately identify the users to inform, whether there was any evidence of misuse, and whether there were any actions a developer or user could take in response. None of these thresholds were met in this instance.

Ogni anno inviamo milioni di notifiche agli utenti riguardo bug e minacce per privacy e security. Ogni qualvolta i dati dell’utente potrebbero essere impattati, andiamo oltre le richieste di legge ed applichiamo vari criteri centrati sui nostri utenti per determinare quando provvedere alla notifica.

Il nostro Uffico di Privacy e Protezione Dati ha preso in esame la minaccia, prendendo in considerazione il tipo di dato coinvolto, se potevamo identificare accuratamente gli utenti da avvisare, se c’era qualche prova di misfatto, e se se c’era qualche comportamento che uno sviluppatore o un utente potevano mette in atto come risposta. Non è stata raggiunta nessunda di queste condizioni, in questo caso.

Una difesa di ufficio, ma il fatto che contemporaneamente il grande rivale Facebook perdeva la faccia per un problema simile ha – probabilmente – avuto il suo peso.

Nello stesso post si parla però di “tramonto” del social network: in 10 mesi la parte “consumer”, ovvero degli utenti normali, verrà dismessa. La parte dedicata alle aziende, almeno per ora, sembra essere salva.
Questo caso è stato forse solo la goccia che ha fatto traboccare il vaso, o forse è la scusa che stavano aspettando, ma di fatto Google+ è da sempre giudicato un enorme flop: tagliare i rami secchi, prima o poi, è necessario.

Piccola nota conclusiva
La mancanza di una comunicazione in 72 ore, per un pericolo di questo tipo, nel quadro della normativa GDPR (entrata pienamente in vigore a maggio) comporta una multa piuttosto salata, fino al 2% del fatturato. Visto che il caso risale a marzo, ma la mancata notifica si è protratta a lungo – ben oltre l’entrata in vigore del nuovo regolamento -, Google dovrà pagare qualcosa o la farà semplicemente franca? Cosa pensate sia giusto?

Marco Bonfiglio

Ho coltivato la mia passione per l’informatica fin da bambino, coi primi programmi BASIC. In età adulta mi sono avvicinato a Linux ed alla programmazione C, per poi interessarmi di reti. Infine, il mio hobby è diventato anche il mio lavoro.
Per me il modo migliore di imparare è fare, e per questo devo utilizzare le tecnologie che ritengo interessanti; a questo scopo, il mondo opensource offre gli strumenti perfetti.

,

4 risposte a “Bug in Google+ mette a rischio 500mila utenti, e Google lo chiude”

  1. Avatar Kim ALLAMANDOLA
    Kim ALLAMANDOLA

    Penso sarebbe ora, visto il ruolo sempre crescente e l’evoluzione dell’informatica, di cominciare a IMPORRE software libero e open hardware, iniziando con tassazioni progressive sempre maggiori sino ad arrivare al 100% dei profitti da applicare a chi vende scatole chiuse. Tornare ad avere reti di stato, hardware prodotto da aziende di stato su disegno di pubbliche università, almeno per servire la PA ovvero i cittadini, imporre una responsabilità civile verso chi offre servizi proprietari: che paghi per ogni falla o diventi un servizio distribuito/decentralizzato. Poco importa che sia gratuito formalmente.

    Certo per tutto questo servono cittadini consapevoli e per aver questi servono prima di tutto cittadini, non consumatori. Un tempo, neanche tanti anni fa, ci cittadini ce n’erano ma oramai sono rimasti un vago ricordo… Il bipede medio oramai non trova manco uno scandalo il dover PAGARE a un PRIVATO per avere servizi pubblici come la PEC o la firma digitale… Il bipede medio non distingue manco Google search dal browser e quest’ultimo dai propri files personali, sono solo “immagini variabili sullo schermo”…

  2. Avatar JustATiredMan
    JustATiredMan

    Concordo sull’imporre software e standard open in certi ambiti magari progettati con il coinvolgimento diretto delle università.
    Lo sono meno sul fatto che reti e hardware siano fatte da aziende di stato.
    In italia una roba del genere si tramuterebbe immediatamente in stipendifici per amici degli amici e politici vari, e il vero lavoro sarebbe dato in outsourcing ad aziende private e lautamente pagate con consulezione milionarie.

  3. Avatar Kim ALLAMANDOLA
    Kim ALLAMANDOLA

    Però se osservi il passato vedrai che la corruzione media è salita con le privatizzazioni non il contrario, banalmente quando c’era la TeTi al posto di Tim c’erano si gli stipendifici, ma non più di oggi, anzi assai meno, inoltre la rete italica era la prima del mondo per estensione e densità… E questo vale per tutta la storia italica recente.

    Il punto dell’open hardware lo puoi vedere osservando le recenti vulnerabilità firmware di CPU&c, abbiamo pochissime architetture aperte (OpenSparc, abortita ancor prima della morte di SUN e OpenPower, attiva) e queste per la loro complessità non sono molto diverse da quelle closed, non sai realmente cosa c’è dentro. Ora questo va bene se il computer non è critico, ma se ci devi far affari di stato…

  4. Avatar Alicia Frantinelli
    Alicia Frantinelli

    La violazione è successa prima della data di entrata in vigore della legge, quindi non deve nulla.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

GitHub
Vai alla sezione Articoli
Vai ai Saturday’s Talks

Categories

Articoli (68) Il mmullato (3) Notizie (2903) Saturday's Talks (45)

Tag cloud

ai (42) Android (32) AWS (30) Bug (67) Canonical (81) CentOS (41) Cloud (59) container (48) Controversia (34) Debian (88) desktop (30) docker (61) Fedora (52) Firefox (36) GitHub (66) Google (85) IBM (49) Intel (53) KDE (35) Kernel (218) Kubernetes (88) Linux (671) LinuxFoundation (31) LTS (32) Malware (53) Microsoft (179) MicrosoftLovesLinux (37) Mozilla (37) open-source (322) Openstack (56) Oracle (34) Patch (30) RaspberryPI (30) Red Hat (154) Release (45) RHEL (36) SaturdaysTalks (44) Sicurezza (90) Software (36) SUSE (34) systemd (73) Torvalds (78) Ubuntu (167) Vulnerabilità (54) Windows (80)