Hlavní navigace

Sociální síť Google Plus končí, firma přiznala bezpečnostní chybu

Petr Krčmář

Google končí se sociální sítí Google Plus, stát by se tak mělo do srpna 2019. Posledním hřebíčkem do rakve této služby bylo objevení závažné bezpečnostní chyby, která mohla vést k úniku citlivých informací o uživatelích.

Doba čtení: 3 minuty

Google v následujících deseti měsících uzavře svou sociální síť Google Plus. Oznámení přichází zároveň se zveřejněním podrobností o bezpečnostní chybě, která službu ohrožovala dlouhé tři roky. Mohla vést k úniku osobních údajů uživatelů, i když Google tvrdí, že nemá žádné důkazy o tom, že by data někdo skutečně těžil.

Utajovaná bezpečnostní chyba

Zprávu před samotným Googlem zveřejnil ještě Wall Street Journal (paywall) a poté byla společnost nucena zveřejnit oficiální oznámení. Podle něj byla v kódu chyba, která umožňovala ze sociální sítě získat uživatelské jméno, e-mailovou adresu, povolání, pohlaví a věk. Bez ohledu na to, že uživatel v nastavení zvolil tyto informace o sobě nesdělovat.

Chyba byla součástí vývojářského API mezi lety 2015 a 2018, tedy dlouhé tři roky. Google tvrdí, že nemá žádné důkazy o tom, že by někdo cizí o problému věděl a rozbité API zneužíval. Firma tvrdí, že díru zalepila v březnu 2018, jakmile se o ní dozvěděla díky svému projektu Strobe. Nedozvěděli se o ní ale uživatelé.

Google tvrdí, že svou sociální síť napsal s ohledem na soukromí uživatelů, takže neukládal logy použití API déle než dva týdny. Není tedy už možné přesně zjistit, zda někdo chybu skutečně využil. Firma ale podle svých slov prozkoumala záznamy alespoň za období dvou týdnů před záplatováním chyby a objevila 438 aplikací, které API použily. Ty přistupovaly k účtům půl milionu uživatelů, jejichž data tak mohla být potenciálně ohrožena. Zda k tomu ale skutečně došlo, není v tuhle chvíli jasné.

Wall Street Journal tvrdí, že Google informaci nezveřejnil, protože by tím přilákal pozornost regulátorů a spadl by pak do jednoho pytle s Facebookem. Oficiální vyjádření hovoří o tom, že by chybu zveřejnil, pokud by došlo k jejímu zneužití nebo by uživatel měl možnost na problém nějak reagovat. K ničemu z toho prý nedošlo, proto nebyla veřejnost informována.

Zároveň je ovšem třeba dodat, že právě na začátku letošního roku byl odhalen skandál se společností Cambridge Analytica, která těžila data přes chybu v API konkurenční sociální sítě Facebook. Google se tedy zřejmě nechtěl nechat vláčet médii a soudy, proto se rozhodl o své chybě taktně pomlčet.

Google Plus se uzavře příští rok

Google se rozhodl svou sociální síť zcela uzavřít v průběhu následujících 10 měsíců. K úplnému zastavení by mělo dojít v průběhu srpna 2019. Firma má stále v plánu nabízet ji jako komerční produkt pro firmy a přidávat nové funkce určené pro byznys.

Tvrdí, že chce stavět bezpečnou korporátní sociální síť, což je zvláštní tvrzení vzhledem k utajování vážné bezpečnostní hrozby.

K uzavření služby pro běžné uživatele jistě přispívá také to, že je málo používaná a má malý dosah a že 90 % uživatelských návštěv trvalo méně než pět sekund. 

Omezení se dotkne dalších API

Google dále dodává, že se z ohledem na konec sociální sítě změní nastavení bezpečnosti také u ostatních API. Výrazně prý bude omezen vývojářský přístup k datům v Gmailu a Androidu. Nebude tak například už možné se dostat k výpisům hovorů, zprávám nebo kontaktům prostřednictvím Android Contacts API.

Nová pravidla budou platit od 9. ledna 2019 a jejich cílem je omezit množství osobních údajů, ke kterým se budou moci vývojáři pomocí API dostat. K poštovním datům tak budou mít například přístup jen aplikace, pro které je práce s poštou primárním úkolem – e-mailoví klienti, software pro zálohu pošty nebo podniková CRM.

MIF18 tip v článku ROSA


Google Strobe

Představa bezpečnějšího přístupu k datům v systému Android

Všichni vývojáři, kteří mají k těmto rozhraním přístup, budou muset souhlasit s novými pravidly, která jim zakazují předávat či prodávat data pro cílení reklamy, průzkumy trhu, sledování e-mailových kampaní či jiné nesouvisející činnosti.

Google hodlá na svá API zaměřit výrazně více pozornosti a právě proto vytvořil už zmíněný projekt Google Strobe. Ten by měl představovat konkrétní snahu zajistit bezpečné používání API a nastavení pravidel pro vývojáře třetích stran.

Našli jste v článku chybu?