Zweites Datenleck: Google+ schließt vier Monate früher

Ein Bug bei einer Google+ API sorgte dafür, dass App-Entwickler potentiellen Zugriff auf die Daten von 52,5 Millionen Nutzern hatten. Obwohl keine Dritten das System infiltriert haben und womöglich keine Daten missbraucht wurden, treibt Google den Shutdown der APIs und von Google+ selbst voran.

In 90 Tagen werden die APIs geschlossen, Google+ für User im April

Eigentlich war das Ende der Social-Plattform Google+ nach dem Datenleck vom Oktober für August 2019 geplant worden. Bis zu 500.000 Konten waren dabei für Entwickler zugänglich gewesen. Deshalb – aber nach eigenen Aussagen auch wegen zusehends geringerer Relevanz – soll die Plattform eingestellt werden.

The review did highlight the significant challenges in creating and maintaining a successful Google+ that meets consumers’ expectations. Given these challenges and the very low usage of the consumer version of Google+, we decided to sunset the consumer version of Google+.

Nun erklärt David Thacker, VP im Produktmanagement bei der G Suite, im Blogpost, dass der im November entdeckte Fehler Google bewogen hat binnen 90 Tagen alle Google+ APIs einzustellen. Zusätzlich wird die Nutzervariante von Google+ nun schon im April 2019 geschlossen. Damit soll der Schutz der Nutzer gewährleistet werden.

Der Fehler und seine Folgen

Google hat den Fehler, der bei der API ausgemacht wurde, rasch behoben. Bei der folgenden Untersuchung zeigte sich, dass etwa 52,5 Millionen Nutzer potentiell betroffen waren. Das Problem bestand darin, dass Apps, die Zugriff auf Profilinformationen erfragten – darunter Namen, E-Mail-Adressen, Alter, Geschlecht usw. –, diesen auch dann erhielten, wenn die Profile als nicht-öffentlich gesetzt waren. Außerdem war ein Zugriff auf geteilte Google Plus-Daten für die Apps möglich, wenn diese mit der Einwilligung des Profils weitergegeben wurden.

Google betont jedoch, dass der Fehler nicht zur Weitergabe von Zahlungsinformationen, Passwörtern oder Identifikationsdokumenten geführt hat. Die Entwickler hatten für sechs Tage Zugriff auf die Daten. Dass sie diese missbraucht haben, ist nicht belegt. Dazu kommt, dass keine Third Party das System unterwandert hat, so David Thacker weiter. Nutzer und Unternehmenskunden, die betroffen sind, werden derzeit informiert.

Entwickler, die der Shutdown der APIs in den kommenden 90 Tagen betrifft, dürfen von Google in den kommenden Tagen weitere Informationen erwarten; die Developers für Google+-Plattform hilft weiter. Google wird den Nutzern zudem Informationen geben, wie sie ihre Daten sicher aus Google+ extrahieren, da dieses schon vier Monate früher als erwartet geschlossen wird.

Hinweise für Unternehmenskunden

Während Google die Liste mit betroffenen Unternehmenskunden verschickt, gibt Thacker an, dass Administratoren der G Suite stets die Kontrolle über die Apps der User haben. Das heißt, dass nur Apps Zugang erhalten, die als vertrauenswürdig eingestuft wurden. Google+ für Unternehmen wird auch weiterhin bestehen.

Das neueste Datenleck verstärkt Googles Fokus auf Sicherheitsprogramme und Datenkontrollen sowie innovative Reviewprozesse.

We will never stop our work to build privacy protections that work for everyone.

Derzeit scheint kaum ein Unternehmen vor Fehlern gefeit, die zum Verlust zahlreicher Daten führen können. Google reagiert bei Google+ auf die logische Weise, betont Datensicherheit und schließt problematische Bereiche. Für den Nutzer sollte aber jedes weitere Datenleck zumindest das Bewusstsein schärfen, dass all die gespeicherten Informationen zur Person diversen weiteren Nutzungszwecken zugeführt werden können. Bei einem Datenverlust erst recht. Insofern ist das immer im Hinterkopf zu behalten. Gleichzeitig sollte man sich wohl von der Vorstellung verabschieden, dass völlige Datensicherheit gewährleistet werden kann.

Google wird in den kommenden Wochen weitere Informationen zur Schließung von Google+ für User bekanntgeben und vermutlich erneut Stellung beziehen. Das ist immerhin notwendiger denn je.