Google verzweeg bug waardoor gebruikersdata ingezien konden worden

AFP

Google+, het sociale netwerk van Google dat op sterven na dood is, bevatte de afgelopen jaren een bug waardoor data van bijna een half miljoen gebruikers mogelijk te benaderen waren. De zoekgigant besloot - uit vrees voor de mogelijke gevolgen - de zaak niet melden, meldt The Wall Street Journal op basis van anonieme bronnen en documenten.

Vrijwel gelijktijdig met de publicatie van de zakenkrant heeft Google ook een blog online gezet waarin de zaak wordt beschreven. Daarin laat het bedrijf ook weten met Google+ voor consumenten te stoppen, het blijft alleen beschikbaar voor zakelijke gebruikers. Google gaat niet in op de conclusies van de WSJ en een woordvoerder wilde daar ook geen commentaar op geven.

Tussen 2015 en maart 2018

Door een softwarefout hadden 438 apps van externe ontwikkelaars potentieel toegang tot persoonlijke gegevens van Google+-gebruikers, meldt Google zelf. De bug was tussen 2015 en maart 2018 aanwezig in het systeem.

De ontwikkelaars hadden toegang tot de volledige naam, e-mailadres, geboortedatum, geslacht, profielfoto's, woonplaats, beroep en burgerlijke staat. Ze hadden echter ook inzage in zaken die gebruikers als 'niet openbaar' hadden aangemerkt. De techreus weet niet welke gebruikers getroffen zijn door deze zaak.

In de overwegingen of Google de zaak zou melden werd gekeken naar de vraag of ze gedupeerden konden informeren, of er bewijs was van misbruik en of de gebruikers zelf hier iets tegen zouden kunnen doen. Dat was niet het geval, schrijft een woordvoerder van Google in een verklaring. Daar kwam bij dat de ontwikkelaars geen toegang hadden tot telefoonnummers, e-mailberichten, openbare of privéberichten.

Google onderzocht de afgelopen maanden tot welke informatie externe ontwikkelaars toegang hebben. Dit werd intern 'Project Strobe' genoemd. Tijdens dit onderzoek werd de fout bij Google+ ontdekt.

Het is het tweede grote techbedrijf in korte tijd dat te maken heeft met een lek. Anderhalve week geleden meldde Facebook dat het getroffen was door een hack waarbij de hackers toegang hadden tot gegevens van 50 miljoen gebruikers. De impact van die zaak is nog altijd onduidelijk. Overigens meldde Facebook die zaak wel snel. Dat had deels te maken met nieuwe Europese privacywetgeving, waar Googles lek nog niet onder valt.

De zoekgigant benadrukt dat ook in zijn blog. Het bedrijf heeft geen bewijs gevonden dat een ontwikkelaar op de hoogte was van de bug en niets wijst erop dat profielgegevens zijn misbruikt.

Stilhouden is het verhaal

Het echte verhaal zit 'm dan ook niet in de softwarefout, maar in de overwegingen van Google om de zaak stil te houden. In een memo die de WSJ heeft ingezien schrijft de afdeling juridische zaken en beleid van Google dat het naar buiten brengen van deze zaak waarschijnlijk zou leiden tot "onmiddellijke interesse" vanuit de wetgevende macht. Ook vreesde het team voor een vergelijking met Cambridge Analytica.

Zack Whittaker
@zackwhittaker
The coverup is worse than the crime. https://t.co/uRdTJWkQaM
2 maanden geleden

Google ligt de laatste tijd steeds meer onder het vergrootglas van critici en de politiek. Zo stopte het na druk van onder meer de eigen medewerkers met een samenwerking met het Pentagon rond drones. En het bedrijf ligt de laatste weken onder vuur vanwege 'Project Dragonfly'; het bedrijf zou werken aan de terugkeer van zijn zoekmachine - gecensureerd en wel - in China.

Naar verwachting zal de topman van Google, Sundar Pichai, die volgens de WSJ op de hoogte was van de overwegingen, ergens in de komende week verantwoording moeten afleggen tegenover het Amerikaanse Congres. Daarbij zal dit verhaal ongetwijfeld worden besproken.

In dezelfde blogpost kondigt Google ook andere maatregelen aan om gebruikers naar eigen zeggen meer controle te geven over het bereik van apps van externe ontwikkelaars tot de eigen data. Zo moet je straks nog duidelijker aangeven of een bepaalde app toegang mag krijgen tot persoonlijk data.

STER Reclame