Google+, het sociale netwerk van Google dat op sterven na dood is, bevatte de afgelopen jaren een bug waardoor data van bijna een half miljoen gebruikers mogelijk te benaderen waren. De zoekgigant besloot – uit vrees voor de mogelijke gevolgen – de zaak niet melden, meldt The Wall Street Journal op basis van anonieme bronnen en documenten.

Vrijwel gelijktijdig met de publicatie van de zakenkrant heeft Google ook een blog online gezet waarin de zaak wordt beschreven. Daarin laat het bedrijf ook weten met Google+ voor consumenten te stoppen, het blijft alleen beschikbaar voor zakelijke gebruikers. Google gaat niet in op de conclusies van de WSJ en een woordvoerder wilde daar ook geen commentaar op geven.

Tussen 2015 en maart 2018

Door een softwarefout hadden 438 apps van externe ontwikkelaars potentieel toegang tot persoonlijke gegevens van Google+-gebruikers, meldt Google zelf. De bug was tussen 2015 en maart 2018 aanwezig in het systeem.

De ontwikkelaars hadden toegang tot de volledige naam, e-mailadres, geboortedatum, geslacht, profielfoto’s, woonplaats, beroep en burgerlijke staat. Ze hadden echter ook inzage in zaken die gebruikers als ‘niet openbaar’ hadden aangemerkt. De techreus weet niet welke gebruikers getroffen zijn door deze zaak.

In de overwegingen of Google de zaak zou melden werd gekeken naar de vraag of ze gedupeerden konden informeren, of er bewijs was van misbruik en of de gebruikers zelf hier iets tegen zouden kunnen doen. Dat was niet het geval, schrijft een woordvoerder van Google in een verklaring. Daar kwam bij dat de ontwikkelaars geen toegang hadden tot telefoonnummers, e-mailberichten, openbare of privéberichten.

Google onderzocht de afgelopen maanden tot welke informatie externe ontwikkelaars toegang hebben. Dit werd intern ‘Project Strobe’ genoemd. Tijdens dit onderzoek werd de fout bij Google+ ontdekt.

Het is het tweede grote techbedrijf in korte tijd dat te maken heeft met een lek. Anderhalve week geleden meldde Facebook dat het getroffen was door een hack waarbij de hackers toegang hadden tot gegevens van 50 miljoen gebruikers. De impact van die zaak is nog altijd onduidelijk. Overigens meldde Facebook die zaak wel snel. Dat had deels te maken met nieuwe Europese privacywetgeving, waar Googles lek nog niet onder valt.

De zoekgigant benadrukt dat ook in zijn blog. Het bedrijf heeft geen bewijs gevonden dat een ontwikkelaar op de hoogte was van de bug en niets wijst erop dat profielgegevens zijn misbruikt.

Stilhouden is het verhaal

Het echte verhaal zit ‘m dan ook niet in de softwarefout, maar in de overwegingen van Google om de zaak stil te houden. In een memo die de WSJ heeft ingezien schrijft de afdeling juridische zaken en beleid van Google dat het naar buiten brengen van deze zaak waarschijnlijk zou leiden tot “onmiddellijke interesse” vanuit de wetgevende macht. Ook vreesde het team voor een vergelijking met Cambridge Analytica.

www.nos.nl