Consumentenversie Google+ wordt gesloten na ontdekking kwetsbaarheid

Abonneer je gratis op Techzine!

De consumentenversie van Google+ wordt gesloten. De Facebook-concurrent van Google blijkt al jarenlang een kwetsbaarheid te hebben gehad, waardoor gebruikersgegevens eenvoudig inzichtelijk waren voor derden. Waar velen verwacht hadden dat de dienst met een zucht zou stoppen, blijkt dat nu toch met een knal te gebeuren.

Gisteren meldde de Wall Street Journal dat Google eerder dit jaar bewust werd gemaakt van een kwetsbaarheid in Google+. Het bedrijf besloot die niet openbaar te maken, omdat het vreesde voor reputatieschade en een onderzoek van overheden. Google bevestigt dat het zich bewust was van de kwetsbaarheid. Maar het benadrukt dat er “geen bewijs is, dat er een ontwikkelaar was die zich bewust is geweest van deze bug. Ook hebben we geen bewijs gezien dat de API misbruikt is, of dat profielgegevens misbruikt zijn.”

Toegang tot gegevens

De kwetsbaarheid had invloed op de toegang tot data. Gebruikers geven een derde partij via de Google+ interface toegang tot gegevens. Daarbij zouden ook kwaadwillenden eenvoudig gegevens buit kunnen maken. De namen, mailadressen, geboortedata, profielfoto’s en het geslacht van meer dan een half miljoen Google+-accounts zou op deze manier de afgelopen drie jaar kwetsbaar zijn geweest.

Google meldt dat het de kwetsbaarheid in maart al opgelost heeft. Toch is het van plan om de consumentenversie van het sociale medium over tien maanden te sluiten. De zakelijke versie die door G Suite-klanten gebruikt wordt, blijft voorlopig wel bestaan. “Dit onderzoek heeft bevestigd wat we al enige tijd weten: dat, ondanks dat onze ontwikkelaars veel tijd en toewijding in de ontwikkeling van Google+ hebben gestoken, het niet breed opgepikt is door consumenten en ontwikkelaars”. Negentig procent van de gebruikerssessies op Google+ duurt nog geen vijf seconden.

Waarom niet onthuld?

Google stelt zelf dat de beslissing om de kwetsbaarheid niet te onthullen voorkomt uit een intern onderzoek. Er zou gekeken zijn naar het type gegevens dat hiermee kwetsbaar was, naar de vraag of Google precies zou kunnen vaststellen welke gebruikers getroffen zijn, of er bewijs was voor een daadwerkelijk lek en of er extra stappen genomen moesten worden door gebruikers of ontwikkelaars. Dit was allemaal niet het geval.