A Alphabet, controladora do Google, informou nesta segunda-feira, 8, que até 500 mil contas de usuários do site Google+ foram potencialmente afetadas por um erro que pode ter exposto seus dados para desenvolvedores externos, motivo pelo qual a empresa está fechando a rede social para consumidores.
O Google optou por não divulgar o problema em parte devido a temores de escrutínio regulatório, noticiou o Wall Street Journal, citando fontes não identificadas e documentos internos.
Uma falha de software no site social deu aos desenvolvedores externos possível acesso a dados do perfil privado do Google+ entre 2015 e março de 2018, quando investigadores internos descobriram e corrigiram o problema.
Os dados afetados são limitados a campos estáticos e opcionais do perfil do Google+, incluindo nome, endereço de e-mail, ocupação, sexo e idade, segundo o Google.
"Não encontramos nenhuma evidência de que algum desenvolvedor tenha conhecimento desse bug ou de abusar da API, e não encontramos nenhuma evidência de que qualquer dado do Perfil tenha sido mal utilizado", disse o Google.
Um memorando preparado pela equipe jurídica e de políticas do Google e compartilhado com altos executivos alertou que divulgar o incidente provavelmente acionaria "interesse regulatório imediato" e motivaria comparações com o vazamento de informações do Facebook para a empresa de dados Cambridge Analytica, informou a reportagem do Wall Street Journal.
Alegações do uso indevido de dados por 87 milhões de usuários do Facebook pela Cambridge Analytica, contratada pela campanha eleitoral do presidente Donald Trump em 2016, prejudicaram as ações da maior rede social do mundo e motivaram múltiplas investigações oficiais nos Estados Unidos e na Europa.
O presidente-executivo do Google, Sundar Pichai, foi informado sobre o plano de não notificar os usuários depois que um comitê interno chegou a essa decisão, de acordo com o WSJ.
Ao ponderar a divulgação do incidente, a empresa considerou "se podería identificar com precisão os usuários para informar, se havia alguma evidência de uso indevido e se havia alguma ação que um desenvolvedor ou usuário pudesse receber em resposta", disse um porta-voz do Google ao WSJ. "Nenhum desses parâmetros foram atendidos aqui."
Comunicado oficial
Em comunicado no seu site, o Google diz que ao longo dos anos, recebemos comentários de que as pessoas querem entender melhor como controlar os dados que escolhem compartilhar com os aplicativos no Google+. Então, como parte do Projeto Strobe, focado em segurança de acesso, uma de nossas primeiras prioridades foi analisar de perto todas as APIs associadas ao Google+.
Essa análise cristalizou o que o Google pensava há algum tempo, que, embora as equipes de engenharia tenham dedicado muito esforço e dedicação à criação do Google+ ao longo dos anos, ela não alcançou ampla adoção de consumidores ou desenvolvedores e viu uma interação limitada do usuário com aplicativos. Atualmente, a versão do consumidor do Google+ tem baixo uso e engajamento: 90% das sessões dos usuários do Google+ são menos de cinco segundos.
A análise mostrou que nossas APIs do Google+ e os controles associados para os consumidores são difíceis de desenvolver e manter. Ressaltando isso, a gigante de buscas explicou que parte da auditoria do Projeto Strobe, descobriu um bug em uma das APIs do Google+ People:
Os usuários podem conceder acesso a seus dados do perfil e às informações públicas do perfil de seus amigos para os aplicativos do Google+ por meio da API.
O bug significava que os aplicativos também tinham acesso a campos de perfil que eram compartilhados com o usuário, mas não marcados como públicos.
Esses dados estão limitados a campos estáticos e opcionais do perfil do Google+, incluindo nome, endereço de e-mail, ocupação, sexo e idade. Ele não inclui nenhum outro dado que você tenha postado ou conectado ao Google+ ou qualquer outro serviço, como postagens do Google+, mensagens, dados da Conta do Google, números de telefone ou conteúdo do G Suite.
Descobrimos e corrigimos esse bug imediatamente em março de 2018. Acreditamos que ocorreu após o lançamento, como resultado da interação da API com uma alteração subsequente no código do Google+", diz o comunicado.
Criamos o Google+ com privacidade em mente e, portanto, mantemos os dados de registro desta API por apenas duas semanas. Isso significa que não podemos confirmar quais usuários foram impactados por esse bug. No entanto, fizemos uma análise detalhada nas duas semanas anteriores à correção do bug e, a partir dessa análise, os perfis de até 500.000 contas do Google+ foram potencialmente afetados. Nossa análise mostrou que até 438 aplicativos podem ter usado essa API.
Não encontramos nenhuma evidência de que qualquer desenvolvedor tenha conhecimento desse bug ou de abusar da API, e não encontramos nenhuma evidência de que qualquer dado do Perfil tenha sido usado incorretamente.
Todos os anos, enviamos milhões de notificações aos usuários sobre bugs e problemas de privacidade e segurança. Sempre que os dados do usuário podem ter sido afetados, vamos além de nossos requisitos legais e aplicamos vários critérios focados em nossos usuários para determinar se devemos fornecer um aviso.
Nosso Escritório de Privacidade e Proteção de Dados analisou essa questão, analisando o tipo de dados envolvidos, se poderíamos identificar com precisão os usuários para informar, se havia alguma evidência de uso indevido e se havia alguma ação que um desenvolvedor ou usuário pudesse realizar em resposta. Nenhum desses limites foram atendidos nesta instância.
A análise destacou os desafios significativos na criação e manutenção de um Google+ bem-sucedido que atende às expectativas dos consumidores. Dados esses desafios e o uso muito baixo da versão do Google+ para o consumidor, decidimos desativar a versão do Google+ para o consumidor.
Para dar às pessoas uma oportunidade completa de transição, implementaremos esse encerramento por um período de 10 meses, com conclusão prevista para o final de agosto do próximo ano. Nos próximos meses, forneceremos informações adicionais aos consumidores, incluindo formas de fazer download e migrar seus dados.
Ao mesmo tempo, temos muitos clientes corporativos que estão encontrando grande valor ao usar o Google+ em suas empresas. Nossa análise mostrou que o Google+ é mais adequado como um produto corporativo, em que os colegas de trabalho podem participar de discussões internas em uma rede social corporativa segura. Os clientes corporativos podem definir regras de acesso comuns e usar controles centrais para toda a organização. Decidimos nos concentrar em nossos esforços empresariais e lançar novos recursos criados especificamente para empresas.
No futuro, os consumidores terão um controle mais detalhado sobre os dados da conta que escolhem compartilhar com cada aplicativo. Em vez de ver todas as permissões solicitadas em uma única tela, os aplicativos precisarão mostrar a você cada permissão solicitada, uma por vez, dentro de sua própria caixa de diálogo. Por exemplo, se um desenvolvedor solicitar acesso às entradas da agenda e aos documentos do Google Drive, você poderá optar por compartilhar um, mas não o outro.