Google fecha Google+ após expor dados de 500 mil utilizadores

Falha de segurança na famigerada rede social do Google expôs dados de meio milhão de pessoas a programadores de aplicações externas. Empresa ocultou a informação durante sete meses.

Foto
Reuters/ARND WIEGMANN

Uma falha de segurança no Google+, a fracassada rede social do Google, expôs dados privados de cerca de 500 mil utilizadores aos programadores de 438 aplicações externas.

A verdade faz-nos mais fortes

Das guerras aos desastres ambientais, da economia às ameaças epidémicas, quando os dias são de incerteza, o jornalismo do Público torna-se o porto de abrigo para os portugueses que querem pensar melhor. Juntos vemos melhor. Dê força à informação responsável que o ajuda entender o mundo, a pensar e decidir.

Uma falha de segurança no Google+, a fracassada rede social do Google, expôs dados privados de cerca de 500 mil utilizadores aos programadores de 438 aplicações externas.

Segundo uma investigação do Wall Street Journal (WSJ), a vulnerabilidade existia desde 2015 mas só foi detectada pelo Google em Março de 2018. Um memorando interno a que o jornal teve acesso mostra que funcionários da empresa esconderam a existência e a gravidade da falha durante os últimos sete meses porque, de acordo com a equipa jurídica da companhia, o Google não estava legalmente obrigado a revelar o incidente ao público.

Só esta segunda-feira é que a Alphabet, empresa-mãe do Google, tornou a informação pública, anunciado uma série de medidas que passam pelo encerramento do famigerado Google+. 

“Não temos provas de que algum programador tenha encontrado este bug, ou tenha abusado das API [plataformas de programção] e não temos provas de que os dados de algum perfil tenham sido usados abusivamente”, defende a empresa em comunicado.

De acordo com o WSJ, a vulnerabilidade foi detectada durante uma auditoria interna, no âmbito de um projecto conhecido como Probe, e permitiria aos programadores de aplicações externas aceder não só a dados de utilizadores como a informações dos respectivos amigos, numa situação análoga à do caso Cambridge Analytica, que envolveu o acesso a dados de milhões pessoas através do Facebook.

Os dados acessíveis aos programadores incluíam nomes completos, endereços de e-mail, datas de nascimento, género, fotografias de perfil, locais de residência, ocupação profissional e informação sobre relacionamentos pessoais. A falha não abrangia no entanto informações relativas a números de telefone ou ao conteúdo de mensagens trocadas entre utilizadores. Também não afectou o G Suite, um serviço pago que inclui uma série de ferramentas de edição de texto e que é utilizado por instituições de ensino, serviços públicos e empresas.

Esta vulnerabilidade podia ser explorada a partir de diversas API de serviços do Google. Habitualmente, para aceder à informação de um utilizador individual, os programadores necessitam da sua autorização. No entanto, e neste caso, também podiam aceder a dados de utilizadores que nunca tinham dado permissão, mas integravam a rede de amigos de quem tinha autorizado o acesso.

Falha detectada antes da entrada em vigor do RGPD

Ainda que a lei federal norte-americana não seja clara quanto à obrigação de notificar os consumidores e as autoridades acerca de fugas de informação e falhas de segurança desta natureza (uma vez que as empresas regem-se pela lei de cada estado norte-americano), o Regulamento Geral de Protecção de Dados (RGPD) da União Europeia obriga as companhias que sirvam cidadãos comunitários a informar os reguladores no espaço máximo de 72 horas. Em caso de infracção, a multa a pagar pode ir até 2% das receitas mundiais dessa empresa. Mas como a falha foi descoberta em Março e o RGPD só entrou em vigor em Maio, os advogados do Google alegam que a companhia não estava obrigada a revelar a informação.

A empresa, escreve o WSJ, justificava ainda a ocultação da informação com o receio de vir a poder aumentar “o interesse dos reguladores de forma imediata” e convidar a comparações com o Facebook e o caso Cambridge Analytica. Sundar Pichai, o director executivo do Google, estaria ao corrente da decisão. 

Esta segunda-feira, e no comunicado que divulgou, o Google argumenta que decidiu manter a informação privada por não ter qualquer prova de que algum programador tenha acedido e utilizado abusivamente os dados dos utilizadores.

Google+ tem dez meses de vida

No comunicado, a empresa explica ainda que a investigação a esta vulnerabilidade reforçou a decisão de encerrar o Google+: "Confirmou o que já sabíamos há algum tempo: que as nossas equipas de engenheiros esforçaram-se muito e dedicaram-se à construção do Google+ nos últimos anos, mas que [o produto] não conquistou o público nem os programadores, e teve uma interacção limitada com outras aplicações".

"O Google+ tem actualmente uma baixa utilização e engajamento: 90% das sessões dos utilizadores duram menos de cinco segundos”, admite a empresa.

O fim do Google+ acontecerá de forma faseada, ao longo dos próximos dez meses, e os utilizadores terão a possibilidade de descarregar todos os dados que actualmente têm nas respectivas contas.

Para além do encerramento daquela rede social, o Google anunciou ainda que vai suspender o acesso de programadores a dados relativos a mensagens de texto e chamadas dos utilizadores de smartphones Android.

O acesso dos programadores às várias aplicações do universo Google também vai mudar: só poderá ser acedida uma aplicação de cada vez, sendo que o utilizador também só poderá conceder uma autorização de acesso de cada vez.