A marzo è stato il turno dello scandalo di Facebook, che porta il nome di Cambridge Analytica: i dati di più di 80 milioni di persone erano a disposizione di quella società per fare profili, comparazioni e non si sa cos’altro. E sebbene iscrivendosi a Facebook si permetta l’accesso ad una certa serie di dati, nel caso specifico tale permesso non era stato dato: a tutti gli effetti i dati sono stati rubati.
Lo scandalo fu molto grosso, tanto da mandare a picco la società. Quello che non si sapeva, è che in casa Google c’era un problema analogo.
Già, perché per un bug nelle API di Goolge+ per gli sviluppatori, ovvero quell’insieme di chiamate disponibili per chi vuole creare programmi che interagiscano con il social network di Mountain View, permetteva di accedere a tutte le informazioni di un profilo che avesse accettato di condividerle, ma anche di tutti i profili collegati. Numero di potenziali utenti a rischio: 500 mila.
Giusto per essere giusti: parliamo delle sole informazioni pubbliche, ma che comprendono nome, cognome, email, età, sesso, occupazione. Altre informazioni sensibili, dalla password dell’account ai post visti o fatti, non erano disponibili. Ma ci sembra che la lista sia già piuttosto lunga.
Ad aggravare la situazione, il fatto che il bug sia stato presente per almeno 2 anni, prima della sua scoperta a marzo. E che sembra non sia mai stato sfruttato, ma questa è solo una speculazione: le tracce per sull’uso delle API vengono tenute solo per 2 settimane. Ciliegina sulla torta: si scopre solo ad ottobre, grazie ad un post fatto da Google stessa, nel quale si giustifica la scelta di non rendere pubblico il problema:
Every year, we send millions of notifications to users about privacy and security bugs and issues. Whenever user data may have been affected, we go beyond our legal requirements and apply several criteria focused on our users in determining whether to provide notice.
Our Privacy & Data Protection Office reviewed this issue, looking at the type of data involved, whether we could accurately identify the users to inform, whether there was any evidence of misuse, and whether there were any actions a developer or user could take in response. None of these thresholds were met in this instance.
Ogni anno inviamo milioni di notifiche agli utenti riguardo bug e minacce per privacy e security. Ogni qualvolta i dati dell’utente potrebbero essere impattati, andiamo oltre le richieste di legge ed applichiamo vari criteri centrati sui nostri utenti per determinare quando provvedere alla notifica.
Il nostro Uffico di Privacy e Protezione Dati ha preso in esame la minaccia, prendendo in considerazione il tipo di dato coinvolto, se potevamo identificare accuratamente gli utenti da avvisare, se c’era qualche prova di misfatto, e se se c’era qualche comportamento che uno sviluppatore o un utente potevano mette in atto come risposta. Non è stata raggiunta nessunda di queste condizioni, in questo caso.
Una difesa di ufficio, ma il fatto che contemporaneamente il grande rivale Facebook perdeva la faccia per un problema simile ha – probabilmente – avuto il suo peso.
Nello stesso post si parla però di “tramonto” del social network: in 10 mesi la parte “consumer”, ovvero degli utenti normali, verrà dismessa. La parte dedicata alle aziende, almeno per ora, sembra essere salva.
Questo caso è stato forse solo la goccia che ha fatto traboccare il vaso, o forse è la scusa che stavano aspettando, ma di fatto Google+ è da sempre giudicato un enorme flop: tagliare i rami secchi, prima o poi, è necessario.
Piccola nota conclusiva
La mancanza di una comunicazione in 72 ore, per un pericolo di questo tipo, nel quadro della normativa GDPR (entrata pienamente in vigore a maggio) comporta una multa piuttosto salata, fino al 2% del fatturato. Visto che il caso risale a marzo, ma la mancata notifica si è protratta a lungo – ben oltre l’entrata in vigore del nuovo regolamento -, Google dovrà pagare qualcosa o la farà semplicemente franca? Cosa pensate sia giusto?
Leggi il contenuto originale su Mia mamma usa Linux!