W przełomie wydarzeń, który został imponująco przepowiedziany przez założyciela WordStream Larry Kim sposób z powrotem w 2015 roku, Google jest umieszczenie jej długo oblężonych platform mediów społecznościowych, Google Plus, na pastwisko. Podczas gdy, zgodnie z oficjalnym komunikatem, Google poświęcił sporo czasu i zasobów w ciągu roku, aby Google Plus cenną platformę dla konsumentów, naruszenie danych, które wystąpiły w marcu wydaje się być ostateczną słomą. Google Plus był jak brzydki pasierb, który złamał wazę rodziny. To nie było wszystko, że popularne w każdym razie, a ten ostatni niedyskrecja dał Google przytłaczającą zachętę do dezawuowania go.
Porozmawiajmy trochę więcej o naruszeniu danych, które wystąpiły, a niektóre nadrzędne konsekwencje ogłoszenia.
Czym był Google Plus?
Czwarta próba zbudowania sieci społecznościowej przez Google, Google Plus podążał za takimi serwisami jak Google Buzz, Google Friend Connect i Orkut. Wzrost bazy użytkowników platformy wydawał się obiecujący – cieszyła się ona 395 milionami aktywnych kont w 2016 roku. Ale również w 2016 roku, 91% z tych kont było pustych. Dziś 90 proc. sesji użytkowników Google Plus trwa krócej niż pięć sekund. Skąd ta ogromna rozbieżność między liczbą kont a ilością korzystania z nich? Przez lata Google Plus integrował się z takimi aplikacjami jak Zdjęcia, Hangouts czy YouTube. Aby korzystać z tych aplikacji i wchodzić z nimi w interakcję, trzeba było mieć konto Google Plus.
To oznaczało, że większość użytkowników na Google Plus były tylko na Google Plus do korzystania z tych innych aplikacji. W przeciwieństwie do Facebooka, który zasadnie widział Google Plus jako zagrożenie w jego wczesnych stadiach, ludzie nie byli zakładanie kont Google Plus do rzeczywistego korzystania z platformy. Dla porównania – posiadanie konta na Facebooku ułatwia zalogowanie się do Spotify, a właściwie do wielu innych usług, ale to nie dlatego większość ludzi ma konta na Facebooku.
Wyłamywanie się z czasem produktów i usług z parasola Google Plus-Gmail, Zdjęcia, Strumienie, YouTube-ostatecznie sprawiło, że platforma stała się miastem duchów. Ale ponieważ nikt nie chce publicznie wypierać się dziecka, bez względu na to, jak problematyczne i bezproduktywne było, Google trzymał się Google Plus dłużej niż było to prawdopodobnie konieczne.
Wtedy nastąpiło naruszenie danych.
Dlaczego Google Plus odchodzi?
To naruszenie danych nie było niczym na skalę Cambridge Analytica, która uzyskała dostęp do prywatnych informacji ponad 50 milionów użytkowników Facebooka, ale to też nie było nic. Google uruchomił Project Strobe, wysiłek regulacji danych zainicjowany przez Skrillex i LCD Soundsystem (nie naprawdę) na początku roku. Zgodnie z ogłoszeniem, Project Strobe został uruchomiony niezależnie, przed naruszeniem danych, a zatem naruszenie danych było coś, co było aktywnie szuka, a nie coś, co przypadkowo natknął.
Celem Projektu Strobe było przejrzenie dostępu deweloperów stron trzecich w całej rozległej sieci aplikacji i usług Google’a – chodzi o to, że im bardziej złożony staje się ten ekosystem, tym trudniej jest Google’owi regulować prywatność i bezpieczeństwo danych. W odniesieniu do Google Plus, oto co znalazł (cytując bezpośrednio z wpisu na blogu):
- Użytkownicy mogą udzielić dostępu do danych swojego profilu, i publicznych informacji o profilu swoich znajomych, do aplikacji Google+, poprzez API.
- Błąd oznaczał, że aplikacje miały również dostęp do pól profilu, które były udostępniane użytkownikowi, ale nie oznaczone jako publiczne.
- Dane te są ograniczone do statycznych, opcjonalnych pól profilu Google+, takich jak imię i nazwisko, adres e-mail, zawód, płeć i wiek. Nie obejmują one żadnych innych danych, które użytkownik mógł opublikować lub połączyć z Google+ lub jakąkolwiek inną usługą, takich jak posty Google+, wiadomości, dane konta Google, numery telefonów lub zawartość G Suite.
- W marcu 2018 r. odkryliśmy i natychmiast załataliśmy ten błąd. Uważamy, że wystąpił on po uruchomieniu w wyniku interakcji interfejsu API z późniejszą zmianą kodu Google+.
- Wykonaliśmy Google+ z myślą o prywatności i dlatego przechowujemy dane dziennika tego interfejsu API tylko przez dwa tygodnie. Oznacza to, że nie możemy potwierdzić, którzy użytkownicy zostali dotknięci przez ten błąd. Przeprowadziliśmy jednak szczegółową analizę w ciągu dwóch tygodni przed załataniem błędu, a z tej analizy wynika, że profile do 500 000 kont Google+ mogły zostać potencjalnie dotknięte. Nasza analiza wykazała, że do 438 aplikacje mogły korzystać z tego API.
- Znaleźliśmy żadnych dowodów, że każdy deweloper był świadomy tego błędu, lub nadużywania API, i nie znaleźliśmy żadnych dowodów, że wszelkie dane Profile zostały misused.
TL;DR: Google odkrył błąd w swoim systemie, który pozwolił aplikacje firm trzecich, aby uzyskać dostęp do niektórych prywatnych informacji do 500.000 osób. To naprawił błąd natychmiast. Chociaż wie, ilu ludzi mogło mieć swoje informacje wykorzystywane do nikczemnych powodów, to nie wie, jak wiele rzeczywiście zrobił; i co więcej, znalazł niewiele powodów, aby wierzyć, że każdy rzeczywiście did.
„Naruszenie danych” jest duży czas spust słowo w mediach teraz, ale wygląda na to, wszystkie rzeczy pod uwagę, ten jeden był dość nieszkodliwe. Mimo to: Google Plus już nie istnieje.
Co jeszcze odkrył Projekt Strobe?
To naprawdę staje się lepsze za każdym razem, gdy to mówisz: Project Strobe przyniósł w sumie cztery wnioski, z których tylko jeden brzmiał „wyrzuć Google Plus”. Pozostałe trzy, w kolejności:
Ludzie chcą dokładnej kontroli nad danymi, które udostępniają aplikacjom.
Rozwiązanie Google tutaj jest, rzeczywiście, dać użytkownikom bardziej granularną kontrolę nad tym, które informacje zdecydują się dzielić z aplikacji stron trzecich. W przeszłości, jeśli aplikacja chciała uzyskać dostęp do, powiedzmy, Kalendarz i Dysk, Google będzie tylko zapytać, czy użytkownik zgodził się na udostępnianie obu zestawów danych. Teraz będzie pytać o zgodę na udostępnienie każdego zestawu, po kolei:
Gdy użytkownicy przyznają aplikacjom dostęp do swojego Gmaila, robią to z myślą o określonych przypadkach użycia.
Google aktualizuje swoje Zasady dotyczące danych użytkownika dla konsumenckiego interfejsu API Gmaila. Teraz, gdy użytkownik przyznaje innym podmiotom dostęp do swojego konta Gmail, tylko aplikacje, które bezpośrednio zwiększają funkcjonalność poczty e-mail, będą miały prawo dostępu do jego danych. Będą one również musiały zaakceptować nowe standardy bezpieczeństwa Google i poddawać się regularnym przeglądom bezpieczeństwa.
Gdy użytkownicy przyznają uprawnienia do SMS-ów, Kontaktów i Telefonu aplikacjom na Androida, robią to z myślą o określonych przypadkach użycia.
Tak samo jak w przypadku powyższych zmian, ale na Androidzie tylko aplikacje, które osobiście wybrałeś jako domyślne aplikacje do wykonywania połączeń i wysyłania SMS-ów, będą mogły uzyskać dostęp do Twoich danych (jeśli wyrazisz zgodę na ich udostępnienie).
Wszystko, zatem, Google poprawia bezpieczeństwo i zwiększa przejrzystość (dwa główne tematy w tym roku) poprzez rozprawienie się z dostępem do danych osób trzecich.
Final Thoughts on Project Strobe
Google nadal utrzymuje, że Google Plus był użyteczny platforma dla przedsiębiorstw – że firmy, które widziały największy sukces z nim używać go zasadniczo jako izolowane, bezpiecznej sieci, gdzie współpracownicy mogą angażować się w dyskusje i inaczej korporacyjnych interakcji regulowanych. Jeśli jesteś jedną z tych firm, nie rozpaczaj-Google wdraża 10-miesięczny okres „likwidacji”, który pozwoli użytkownikom bezpiecznie migrować dane z sieci, a także będzie uwalnianie informacji w najbliższych dniach na temat wkrótce wydanych funkcji, które będą łagodzić ten długo w-the-works, wiele-portended demise.