In een wending van gebeurtenissen die indrukwekkend werd voorspeld door WordStream oprichter Larry Kim ver terug in 2015, zet Google zijn lang geplaagde social media platform, Google Plus, in de wei. Volgens de officiële aankondiging heeft Google in de loop der jaren heel wat tijd en middelen geïnvesteerd om van Google Plus een waardevol platform voor consumenten te maken, maar een datalek dat in maart plaatsvond, lijkt de druppel te zijn die de emmer deed overlopen. Google Plus was als het lelijke stiefkind dat de familievaas brak. Het was toch al niet zo populair, en deze laatste indiscretie gaf Google een overweldigende stimulans om het te verstoten.
Laten we eens wat meer praten over het datalek dat heeft plaatsgevonden, en over enkele overkoepelende gevolgen van de aankondiging.
Wat was Google Plus?
Google’s vierde poging om een sociaal netwerk te bouwen, Google Plus volgde op Google Buzz, Google Friend Connect, en Orkut. De groei van het gebruikersbestand van het platform leek veelbelovend – het had 395 miljoen actieve accounts in 2016. Maar ook in 2016 was 91% van die accounts leeg. Tegenwoordig duurt 90 procent van de sessies van Google Plus-gebruikers minder dan vijf seconden. Vanwaar de enorme discrepantie tussen het aantal accounts en de mate van gebruik? Jarenlang integreerde Google Plus met apps als Foto’s, Hangouts en YouTube. Je moest een Google Plus-account hebben om deze apps te kunnen gebruiken en ermee te communiceren.
Dit betekende dat de meerderheid van de gebruikers op Google Plus alleen op Google Plus was om deze andere apps te gebruiken. In tegenstelling tot Facebook, die terecht Google Plus als een bedreiging zag in de vroege stadia, maakten mensen geen Google Plus-accounts aan om het platform daadwerkelijk te gebruiken. Ter vergelijking: een Facebook-account maakt het makkelijker om je aan te melden bij Spotify, en eigenlijk bij een heleboel andere diensten, maar dat is niet de reden waarom de meeste mensen een Facebook-account hebben.
Het na verloop van tijd verdwijnen van producten en diensten uit de Google Plus paraplu -mail, foto’s, streams, YouTube- heeft het platform uiteindelijk tot een spookstad gemaakt. Maar omdat niemand een kind publiekelijk wil verstoten, hoe problematisch en onproductief het ook is geweest, klampte Google zich langer vast aan Google Plus dan waarschijnlijk nodig was.
Toen gebeurde het datalek.
Waarom gaat Google Plus weg?
Dit datalek was niets op de schaal van Cambridge Analytica – dat toegang kreeg tot de privégegevens van meer dan 50 miljoen Facebook-gebruikers – maar het was ook niet niets. Google lanceerde begin dit jaar Project Strobe, een poging tot dataregulering onder leiding van Skrillex en LCD Soundsystem (niet echt). Volgens de aankondiging werd Project Strobe onafhankelijk gelanceerd, voorafgaand aan het datalek, en daarom was het datalek iets waar het actief naar op zoek was, niet iets waar het per ongeluk op stuitte.
Het doel van Project Strobe was om de toegang van externe ontwikkelaars tot Google’s uitgebreide netwerk van apps en diensten te onderzoeken. Het idee is dat hoe complexer dat ecosysteem wordt, hoe moeilijker het voor Google is om de privacy en veiligheid van gegevens te reguleren. Met betrekking tot Google Plus, dit is wat het vond (rechtstreeks citerend uit de blog post):
- Gebruikers kunnen toegang verlenen tot hun Profiel gegevens, en de openbare Profiel informatie van hun vrienden, aan Google+ apps, via de API.
- De bug betekende dat apps ook toegang hadden tot Profiel velden die werden gedeeld met de gebruiker, maar niet gemarkeerd als openbaar.
- Deze gegevens zijn beperkt tot statische, optionele Google+-profielvelden, waaronder naam, e-mailadres, beroep, geslacht en leeftijd. Het omvat geen andere gegevens die u mogelijk hebt gepost of verbonden met Google+ of een andere service, zoals Google+-berichten, berichten, Google-accountgegevens, telefoonnummers of G Suite-inhoud.
- We hebben deze bug in maart 2018 ontdekt en onmiddellijk gepatcht. We geloven dat het na de lancering is opgetreden als gevolg van de interactie van de API met een latere codewijziging van Google+.
- We hebben Google+ gemaakt met privacy in gedachten en daarom bewaren we de loggegevens van deze API slechts twee weken. Dat betekent dat we niet kunnen bevestigen welke gebruikers door deze bug zijn getroffen. We hebben echter een gedetailleerde analyse uitgevoerd in de twee weken voorafgaand aan het patchen van de bug, en uit die analyse bleek dat de profielen van maximaal 500.000 Google+-accounts mogelijk waren beïnvloed. Uit onze analyse bleek dat maximaal 438 applicaties mogelijk gebruik hebben gemaakt van deze API.
- We hebben geen aanwijzingen gevonden dat ontwikkelaars op de hoogte waren van deze bug of de API hebben misbruikt, en we hebben geen aanwijzingen gevonden dat profielgegevens zijn misbruikt.
TL;DR: Google heeft een fout in zijn systeem ontdekt waardoor apps van derden toegang hadden tot de privégegevens van maximaal 500.000 mensen. Het heeft de fout onmiddellijk hersteld. Hoewel Google weet van hoeveel mensen hun gegevens gebruikt kunnen zijn voor snode doeleinden, weet het niet van hoeveel mensen dat daadwerkelijk is gebeurd; en bovendien heeft het weinig reden om aan te nemen dat dit ook daadwerkelijk is gebeurd.
“Datalek” is momenteel een veel gebruikt woord in de media, maar het lijkt erop dat, alles in ogenschouw genomen, dit een redelijk onschuldig geval was. Maar toch: Google Plus is niet meer.
Wat heeft Project Strobe nog meer aan het licht gebracht?
Het wordt echt beter elke keer als je het zegt: Project Strobe heeft in totaal vier bevindingen opgeleverd, waarvan slechts één “gooi Google Plus overboord” was. De andere drie, in volgorde:
Mensen willen fijnmazige controle over de gegevens die ze met apps delen.
Google’s oplossing hier is om gebruikers inderdaad meer verfijnde controle te geven over welke informatie ze willen delen met apps van derden. In het verleden, als een applicatie toegang wilde tot bijvoorbeeld je Agenda en je Drive, vroeg Google alleen of je toestemming gaf om beide datasets te delen. Nu wordt gevraagd of je toestemming geeft om elke set te delen, een voor een:
Wanneer gebruikers apps toegang geven tot hun Gmail, doen ze dat met bepaalde use-cases in gedachten.
Google werkt zijn gebruikersgegevensbeleid bij voor de Gmail API voor consumenten. Wanneer je derden nu toegang geeft tot je Gmail-account, krijgen alleen apps die de e-mailfunctionaliteit direct uitbreiden toestemming om toegang te krijgen tot je gegevens. Ze moeten ook akkoord gaan met de nieuwe beveiligingsstandaarden van Google en zich onderwerpen aan regelmatige beveiligingsbeoordelingen.
Als gebruikers Android-apps sms-, contact- en telefoonrechten geven, doen ze dat met bepaalde use-cases in gedachten.
Hetzelfde als de veranderingen hierboven, maar dan voor Android-apps: alleen apps die je persoonlijk hebt geselecteerd als standaardapps voor het bellen en sms’en, krijgen toegang tot je gegevens (als je toestemming geeft om ze te delen).
Over de hele linie verbetert Google dus de veiligheid en verhoogt het de transparantie (twee belangrijke thema’s dit jaar) door de toegang van derden tot gegevens aan banden te leggen.
Final Thoughts on Project Strobe
Google houdt nog steeds vol dat Google Plus een nuttig platform is geweest voor bedrijven-dat de bedrijven die er het meeste succes mee hebben geboekt het in wezen gebruiken als een geïsoleerd, veilig netwerk waar collega’s kunnen discussiëren en anderszins bedrijfsgereguleerde interacties kunnen aangaan. Als u een van deze bedrijven bent, wanhoop dan niet – Google implementeert een afbouwperiode van 10 maanden die gebruikers in staat stelt om gegevens veilig van het netwerk te migreren, en zal in de komende dagen ook informatie vrijgeven over binnenkort te verschijnen functies die deze lang in de maak zijnde, veelbelovende ondergang zullen verzachten.