Ci si può ancora fidare di Google? È questa la domanda che si pongono i miliardi di utenti di Big G il giorno dopo la rivelazione del bug su Google Plus. Solo dopo l’inchiesta del Wall Street Journal, Google non ha potuto fare altro che confermare, con un ritardo di 7 mesi, la scoperta di un bug su Google+ che ha consentito agli sviluppatori di servizi terzi di accedere ai dati di oltre 500mila utenti.
Indirizzi email, professione, data di nascita e fotografie degli utenti, compresi quelli di quanti avevano nascosto tali informazioni con le impostazioni privacy, sono finiti, impropriamente, nei server di 438 applicazioni: “La nostra analisi ha mostrato che fino a 438 applicazioni potrebbero aver utilizzato le nostri API di Google+”, ha fatto sapere la società, che ha deciso di chiudere il social network per i consumatori: “La versione consumer di Google+ ha attualmente un utilizzo e un coinvolgimento bassi: il 90% delle sessioni utente è inferiore a cinque secondi”, ha scritto sul blog dell’azienda Ben Smith, il Vice President of Engineering di Google.
Perché Google ha fatto come lo struzzo e ha nascosto la testa sotto la sabbia?
Ma perché Google ha fatto come lo struzzo e ha nascosto la testa sotto la sabbia anziché comunicare tempestivamente la falla che ha esposto i dati di mezzo milione di utenti del social network?
La decisione presa è contenuta nella nota, visionata dal Wall Street Journal, preparata dallo staff legale e da quello che si occupa della policy di Google e condivisa con i dirigenti (anche il Ceo Sundar Pichai ne era a conoscenza), nella quale si mette in guardia il gruppo Alphabet nel divulgare la vulnerabilità per paura sia di innescare “un interesse immediato delle autorità regolatorie” sia di finire nel ciclone dello scandalo Cambridge Analytica che ha coinvolto Facebook a marzo scorso. Nello stesso mese Google ha scoperto e risolto la vulnerabilità su Google+, anche in questo caso con estremo ritardo, perché già da tre anni gli sviluppatori di servizi terzi, approfittando della falla, si sono appropriati, indebitamente, dei dati dei 500mila utenti.
Ma perché Google ha fatto come lo struzzo? Ecco la motivazione ufficiale.
Nel valutare se rivelare o meno l’incidente, ha spiegato la società, si è preferito il silenzio perché “Non abbiamo trovato alcuna prova del fatto che uno sviluppatore fosse a conoscenza di questo bug o abusasse dell’API e non abbiamo trovato alcuna prova che i dati dei profili fossero stati utilizzati in modo improprio”.
Ma come si fa ad essere sicuri al 100% di questo risultato?
In queste stesse ore si è infatti scoperto che nel dark web sono in vendita i dati dei 50 milioni di utenti Facebook hackerati di recente. Da 3 a 12 euro il prezzo dei dati personali per utente.
Per essere chiari Google non ha rivelato in modo tempestivo la vulnerabilità agli utenti di Google+, perché a marzo 2018 non era obbligatorio comunicare il data breach. Lo è dal 25 maggio 2018 da quando il GDPR è entrato, pienamente, in vigore nell’Ue. Questo significa che Big G non rischia le salate sanzioni previste dal regolamento Ue, ma presto un suo responsabile potrebbe essere convocato dal Congresso Usa in audizione per spiegare tutta la vicenda. Audizione che, come ha insegnato Mark Zuckerberg, si può superare semplicemente “versando lacrime di coccodrillo”, ma quello che non si può evitare è:
- la “sanzione” inflitta subito dalla Borsa (il titolo è crollato a Wall Street).
- Il danno reputazionale o d’immagine: ossia la perdita di fiducia da parte degli utenti.
