Uma vulnerabilidade na abandonada rede social Google+ expôs os dados pessoais de “centenas de milhares de pessoas” que utilizaram a plataforma entre 2015 e março de 2018. A Google não revelou o problema por não querer passar por um escrutínio regulatório.

Resultado: com a manobra descoberta, o Google+ morreu de vez.

A Google não detectou evidências de uso indevido de dados, que por sua vez foram acessados pelas APIs da plataforma. A gigante tomou uma série de medidas sobre o assunto, avaliando do zero como as APIs estavam funcionando, além das estruturas e permissões de terceiros. Uma auditoria interna para analisar a segurança e privacidade dos seus produtos e serviços.

E assim eles descobriram a falha na API do Google+, que permitia que apps de terceiros acessassem os campos de perfil compartilhados com o usuário, mas que não estavam marcados como públicos. A lista é longa, mas não inclui dados sensíveis, como em mensagens privadas ou contas bancárias.

A Google acredita que a falha estava presente depois do lançamento do Google+, como consequência de uma mudança no código da rede social e da API. Também não acreditam que algum desenvolvedor sabia da falha, nem que os dados foram utilizados de forma irregular. Mesmo assim, leve em consideração que há 438 aplicativos que usaram essa API em aproximadamente 500 mil contas, e o estrago pode ser considerável.

 

 

As medidas tomadas pela Google para resolver o problema

 

 

A primeira foi fechar o Google+ em dez meses. Nesse tempo, ferramentas de migração e exportação de dados serão oferecidas para os usuários se despedirem da plataforma.

As novas permissões do Google para apps de terceiros agora são individuais e mais granulares para que terceiros não tenham acesso a toda a informação, mas sim apenas a necessária para o aplicativo funcionar.

A Google também vai estimular o uso de ferramentas mais granulares para oferecer permissão a apps de terceiros, com permissões mais específicas e em determinadas áreas de escolha do usuário.

O Gmail também está com acesso mais restrito a determinados apps. Agora, apenas gerenciadores de e-mail, gestores de armazenamento na nuvem e similares poderão acessar os dados do Gmail do usuário.

 

 

Por fim, a Google também vai limitar o tipo de apps que podem ter acesso aos contatos, ao histórico de chamadas e SMSs. Mais controles e limitações nas permissões de conta serão adicionados nos próximos meses.

A brecha de segurança do Google+ foi descoberta em março de 2018, e não se tornou pública porque a empresa considerou que ela não deixou vulnerável informações relvantes do usuário. Porém, se tivesse sido descoberta um pouco depois, o GDPR obrigaria que a falha se tornasse pública em questão de horas.

A lei de proteção de dados na Europa entrou em vigor justamente em março. Uma das medidas da lei é obrigar as empresas a tornarem públicas as falhas e alertar os seus usuários se seus dados foram comprometidos.

O não cumprimento da norma em um prazo de 72 horas resulta em multa de 2% nas receitas mundiais da empresa. E, ao que tudo indica, a Google se salvou por questão de dias, antes que a lei entrasse em vigor.

 

Via Google