Une faille de sécurité a permis aux développeurs tiers d’accéder aux données de profil d’utilisateur de Google+ à partir de 2015 jusqu’à ce que Google les découvre et les corrige en mars, sans le dire au monde.
Lorsqu’un utilisateur autorisait une application à accéder aux données de son profil public, le bogue permettait à ces développeurs d’extraire des champs non publics de leur profil et de celui de leurs amis.
En fait, les noms complets, adresses e-mail, dates de naissance, sexe, photos de profil, lieu de résidence, profession et état civil de 496 951 utilisateurs ont été potentiellement exposés, bien que Google ne le dise pas. il a la preuve que les 438 applications qu’il aurait utilisées ont détourné des données. accédé
L’entreprise a décidé de ne pas le dire au public car, selon une note interne, « nous serions dans la ligne de mire à côté ou même dans la peau de Facebook, même si nous étions restés cachés pendant le scandale de Cambridge Analytica. Maintenant, Google+, qui était déjà une ville fantôme abandonnée, est devenu un gros problème pour l’entreprise.
La nouvelle provient d’un rapport du Wall Street Journal selon lequel Google devrait bientôt annoncer une série de réformes de la confidentialité en réponse au bogue.
Les changements incluent une interdiction pour la plupart des développeurs tiers d’accéder aux données SMS, aux journaux d’appels et à certaines informations de contact sur les téléphones Android. Gmail limitera la création de plugins à un petit nombre de développeurs.
Google+ cessera de servir les consommateurs et offrira aux utilisateurs la possibilité d’exporter leurs données pendant les 10 prochains mois, tandis que Google se concentrera sur les entreprises.
Google modifiera également son système d’autorisations de compte afin que les applications tierces pouvant accéder à vos données devront confirmer chaque type d’accès individuellement, et non toutes en même temps. Les modules complémentaires de Gmail seront limités à ceux qui « améliorent directement la fonctionnalité de messagerie », y compris les clients de messagerie, les sauvegardes, les CRM, les outils de publipostage et les outils de productivité.
Étant donné que le bogue et la faille de sécurité se sont produits en 2015 et ont été découverts en mars, avant l’entrée en vigueur du RGPD en Europe, Google sera probablement exempté de la pénalité de 2 % par an pour avoir omis de divulguer le problème dans les 72 jours. heures. L’entreprise pourrait encore faire face à des recours collectifs.