Una vulnerabilidad en la abandonada red social de Google ha expuesto los datos personales de "cientos de miles de personas" que utilizaron la plataforma entre 2015 y marzo de 2018. Según ha revelado Wall Street Journal y Google ha hecho oficial. Al parecer, la compañía no reveló el problema porque no quería pasar por un escrutinio regulatorio.
La compañía del buscador no encontró evidencia de un mal uso de los datos. Datos a los que han podido acceder los desarrolladores mediante el uso de las APIs de la plataforma. Como parte de la respuesta al problema, Google va a cerrar de forma permanente la red social.
Project Strobe: la auditoría interna que ha encontrado la brecha de seguridad
Tal y como ha anunciado la compañía justo en el momento de hacerse público el informe de WSJ, han tomado una serie de medidas al respecto. A principios de este año decidieron evaluar desde cero cómo funcionan sus APIs y la estructura y permisos que tienen terceros en ellas. Es decir, una especie de auditoría interna para analizar la seguridad y privacidad de sus productos y servicios.
Es así como descubrieron el error en la API de Google+. Este error permitía a las apps de terceros tener acceso a los campos de perfil que se compartían con el usuario, pero que no estaban marcados como públicos. Estos datos son por ejemplo el nombre, la fecha de cumpleaños, el género, la imagen de perfil... La lista completa es bastante larga, pero no incluye ningún dato relativamente sensible, como podría ser el contenido de mensajes privados, el contenido de GSuite o cuentas bancarias.
Google cree que este error está presente después del lanzamiento de Google+, como consecuencia de un cambio en el código de la red social y la API. También dicen que no creen que ningún desarrollador tuviese constancia del error ni que los datos de los usuarios se hayan usado con malas intenciones. A pesar de eso, hay que tener en cuenta que también hay 438 aplicaciones que han hecho uso de esta API en alrededor de unas 500.000 cuentas.
Las cuatro medidas de Google para paliar el problema
A pesar de la relativa poca gravedad del asunto según Google, lo primero que van a hacer es cerrar la red social. Debido a la brecha de seguridad y a la poca adopción que ha tenido como red social, han decidido cerrarla en un periodo de diez meses. Durante estos próximos diez meses se ofrecerán herramientas de migración y exportación de datos para que los usuarios puedan salir de la plataforma.
Los nuevos permisos de Google para apps de terceros ahora son individuales y más granulares para que terceros no tengan acceso a toda la información si sólo necesitan parte de ella.
Como segunda medida de seguridad, van a impulsar el uso de herramientas más granulares para ofrecer permisos a apps de terceros. Es decir, cuando una app de terceros en Android o en la web quiera tener acceso a la cuenta de Google, se le otorgará permisos más específicos y tan solo a determinadas áreas que el usuario escoja. De este modo se trata de conseguir que las apps no tengan acceso a toda la información del usuario cuando realmente sólo necesitan parte de ella.
Siguiendo con los permisos de uso, a partir de ahora el acceso a Gmail estará más restringido a determinadas apps. Es increíble que en pleno 2018 una app de cámara por ejemplo pudiese tener acceso a tus correos, pero efectivamente se ha podido. A partir de ahora Google asegura que tan sólo gestores de correo, gestores de almacenamiento en la nube y similares podrán acceder a los datos de Gmail del usuario.
Por último y en relación a los permisos relacionados con los contactos, Google también limitará qué tipo de apps pueden tener acceso a los contactos, al historial de llamadas o a los SMS por ejemplo. En los próximos meses aseguran que añadirán más controles y limitaciones a los permisos de la cuenta de usuario.
Una brecha no anunciada que se salva del GDPR por la campana
Tal y como ha indicado la compañía, esta brecha de seguridad en el servicio de Google+ fue descubierta en marzo de 2018. No decidieron hacerla pública porque consideraban que no exponía información relevante del usuario. Sin embargo, de haberse descubierto un poco más tarde, lo habrían hecho público en cuestión de horas. ¿Por qué? GDPR.
La ley de protección de datos en Europa entró en vigencia justamente el pasado mes de mayo. Una de las medidas que toma esta ley es obligar a las empresas a hacer público y advertir a sus usuarios si su información privada se ha visto comprometida. De no hacerlo en un plazo de 72 horas tras ser descubierto el problema, deben pagar una multa de hasta el 4% de sus ingreso mundiales. Google parece ser que se salvó por cuestión de días antes de que la ley entrase en vigencia.
Más información | Google
Ver 44 comentarios
44 comentarios
estaae
Es gracioso porque si llegan a descubrir este mismo error en otra compañía a través de Project Zero lo hubieran hecho público pasados 90 días. Pero «Don't be evil» y esas cosas.
Usuario desactivado
Google+ ha sido un despropósito desde el principio, todas y cada una de las decisiones que ha tomado google han sido para encabronar a los usuarios, usuarios que en la gran mayoría no quería esta red social impuesta.
La despedida es igual de esperpéntica que sus inicios.
pirovitz
Primero Microsoft abandona un S.O. para móviles que prometía y podía ser alternativa al duopolio iOS + Android, y poco a poco, el conjunto Android con sus brechas y su devoradatospersonales, más Facebook con sus prácticas delictivas que espero lleven a Zuckerberg al calabozo, más este escándalo de G+, más lo que vendrá de whatsapp...ya no sé hasta dónde puede crecer Apple. Le están haciendo la mejor campaña de migración de clientes hacia su plataforma que pueda existir. Por favor Apple, lanza una red social y potencia iMessage en alianza con las operadoras. Y a ti, Microsoft, recupera ese windows Mobile que tanto me gustaba, mete una red social también a través de Office+OneDrive....y deja de cagarla con las actualizaciones sin probar lo suficiente, o corta cabezas dentro.
Google, Facebook+Whatsapp...lo siento, pero muéranse.
No es rollo hater, es que dan vergüenza con estos comportamientos.
Usuario desactivado
Lo bueno que se puede decir es que ni dios usaba la red, por lo que no habrá afectado a mucha gente. Pero me preocupa más el inicio del articulo, el hecho de que lo escondieran (es lo que se entiende) para evitar que les controlaran en este asunto.
Usuario desactivado
Nada, tonterías, es culpa de los usuarios por no leer el EULA, seguro. Y si no, de Apple
Hechs
Ehm..... ¿Esta es manera de anunciar la muerte de un gigante como Google+? (dormido, pero gigante al fin y al cabo)
hispaniafer
Pues al final Bob y sus tanques ganaron la guerra
getcuky117
recuerdan cuando nos obligaron a registrarnos en su G+ ¬¬
rosapz
Increíble con Google. Privacidades, cambio de política, aceptar mil términos, adaptar nuestros espacios según la demanda,...y ahora nos enteramos de esto... en fin algo más con lo que nos pueda sorprender?
braddocksb
Pues yo sigo usandolo para grupos tematicos, o comunicades de algo en particular, esta bien para eso.
A todo esto en 2015 aun no estaba medio integrado a la fuerza todo en google+ (fotos,perfil de google,etc,etc)?? Es que no recuerdo el año que ya lo dejaron separado de todo. Pq si es asi la cosa puede ser bien gorda.
TOVI
Nunca ha llegado a salir del cascaron...
Me alegro, ya dejaré de recibir "correos informativos" acerca de esta red y su "obligación".
zoompyy
Cerrando la red social van a cerrar todo lo relacionado con ella? Es decir, yo no he usado Google+, pero he comentado con esa cuenta en Youtube, y tengo varios juegos con todo su progreso subido ahí. eso se verá afectado?
crisct
Y me dejaran desinstalarlo de mi Android? O será una actualización de 20 MB que lo desactiva?
Priyad
¿Y está vez en serio la cerrarán? que yo recuerde ya van una o dos ocasiones que se anuncia su muerte definitiva y la red siguió en línea, aunque esto se entiende que es algo grande, en serio cerrarla fue su mejor plan de Alphabet con Google+ ya que al estar ligada con Youtube y servicios no creo que sea tan sencillo de hacer ¿Oh si?
liszt606
Encontraron la forma perfecta de matarlo... Con los usuarios y su información como víctimas, por supuesto.
multibytehjgfuf1
Menos competencia :D :D :D :D :D !!! es un buen momento para lanzar una red social :P
mauxxrtg
Era una buena red social. Lástima que le han dado cuello y: