giovedì 11 ottobre 2018

Google+ chiude i battenti: una vulnerabilità ha esposto i dati di oltre 500.000 utenti. Nuove policy privacy in arrivo



di  Accademia Italiana Privacy

Google+ ha all'incirca 7 anni, trascorsi senza troppa gloria raggiungendo la punta massima di 100 milioni di iscritti. Ora Google+ ha deciso di abbandonare l'arena dei social network: lo ha fatto sapere l'azienda stessa. Il comunicato è molto lungo, ma da due notizie principali: la prima è appunto la chiusura di Google+. Non è dato sapere ancora se sia una chiusura definitiva oppure se, al contrario, è solo un passaggio verso un nuovo social targato Google. Il motivo è un da legarsi ad un problema nella gestione dei dati. 
Sotto accusa finiscono le API usate per le applicazioni di terze parti, che hanno permesso agli sviluppatori di ottenere alle quali però non avrebbero dovuto avere accesso. Insomma, stiamo parlando di un vero e proprio data leak che ha colpito circa 500.000 utenti Google+, i cui dati sono finiti nelle mani dei gestori di app di terze parti che non hanno però alcun titolo per trattarli.  

Il comunicato di Google spiega che dovrebbero essere circa 438 le app che hanno sfruttato/potrebbero aver sfruttato il bug delle API per mettere le mani illegittimamente sui dati degli utenti. Non finisce qui: peggio si aggiunge al peggio, se consideriamo che il leak pare si sia protratto per oltre 3 anni. Almeno così rivela non Google, ma il Wall Street Journal, che pone l'inizio del leak nel 2015. Qui lo scandalo si allarga: Google infatti ha individuato il problema lo scorso Marzo, ma ha deciso di aspettare oltre 6 mesi prima di renderlo pubblico. Ufficialmente nessuna spiegazione è stata fornita per questo ritardo, ma, dati i toni assunti per lo scandalo Cambridge Analytica e data l'entrata in vigore del regolamento europeo sulla Privacy GDPR, la mossa potrebbe essere attribuita al tentativo di non finire nelle mire delle autorità garanti della privacy di svariati stati. I sospetti sono confermati dalla seconda notizia contenuta nel comunicato, ovvero l'introduzione di nuove e rigidissime policy che regolano l'accesso delle app di terze parti sui dati conservati su Gmail. 

Le nuove policy
Il punto centrale sul quale paiono incentrarsi le nuove policy è quello della possibilità che sviluppatori esterni a Google possano leggere il contenuto delle email ricevute e spedite dagli utenti del di Gmail. Al momento, infatti, qualsiasi app con un collegamento a Gmail può richiedere ai suoi utenti (e ciò avviene massimamente su Android) il permesso di "leggere/cancellare/inviare" i messaggi di posta.


Nelle nuove policy di Google si introduce un sistema in cui i permessi per l'accesso ai vari servizi di Google (Gmail, Google Drive, Google Calendar ecc...) devono essere assegnati attraverso una finestra specificatamente prevista, dove fa bella mostra un avviso che invita l'utente a concedere permissioni soltanto alle app delle quali si ha pienamente fiducia. 
Per quanto riguarda invece Gmail, Google concederà da oggi l'accesso soltanto a quegli sviluppatori che gestiscono app da considerarsi strettamente legate all'uso della posta elettronica, ad esempio i client mail alternativi. Concederà in ogni caso tale accesso soltanto a coloro che rispetteranno determinati requisiti, tra i quali un certo livello di sicurezza (da sottoporre a verifica da parte di Google stessa) implementato nella gestione dei dati. 

Nessun commento:

Posta un commento