Grado de dificultad: 1 (Porque todas la nociones básicas y fueron expuestas en el kit n° 3)
Columnista: Roberto
Es una información interesante y muy reveladora en varios sentidos que no inspira el artículo de hoy. Viene de Google, pero abre una ventana sobre el comportamiento de todas las plataformas de redes sociales.
La noticia cruda
Una primera vulnerabilidad
La noticia es la siguiente:
Google había anunciado para agosto de 2019 el apagón de la plataforma Google+ por unos meses. Finalmente, no hará mucho más temprano, en abril. Razón invocada, dos bugs que dejaron datos de usuarios expuestos y en riesgo.
Una primera falla fue descubierta al inicio de 2018, afectando los datos de unos 500000 usuarios y fue “solucionada” en marzo 2018.
Bueno… “solucionado” es un decir, dado que luego anunciaron en octubre que iban a cerrar el acceso al servicio “consumer” (es decir nosotros, usuarios normales) en agosto de 2019
https://www.theverge.com/2018/10/8/17951890/google-plus-shut-down-security-api-change-gmail-android
Una segunda vulnerabilidad y sus consecuencias
Hace pocos días, el 10 de diciembre, anunciaron que habían descubierto una nueva “vulnerabilidad” que dejaba expuestos los datos de 52,5 millones de usuarios (no más).
https://www.blog.google/technology/safety-security/expediting-changes-google-plus/
https://www.theverge.com/2018/12/10/18134541/google-plus-privacy-api-data-leak-developers
Como consecuencia, acercaban la fecha del “apagón” de Google+ a abril de 2019, 4 meses antes de la primera fecha prevista.
Explicaciones y preguntas
Informaciones compartidas
El problema central tiene que ver con la API que Google pone a disposición de los desarrolladores que quieren obtener las informaciones públicas compartidas por los usuarios de Google+.
Parece que los datos a los cuales tiene acceso los desarrolladores “exteriores a Google” (third part), van un poco más allá de los datos compartidos… La API dejaría accesible datos que los usuarios no quieren compartir.
Para que sepan, los ajustes por defecto de las cuentas de Google+ activan casi todos los parámetros. Ver un ejemplo a continuación:
Así que la noción de datos no compartidos es relativamente limitada. En el ejemplo anterior, sin embargo, la localización no estaba activada, y es un elemento importante.
Un comportamiento muy permisivo
Indagando un poco más, parece que la falla a la cual se refieren (la segunda) estaba presente desde hace 3 años…
Hay que relativizar la gravedad del evento: todas las plataformas de redes sociales tienen la misma tendencia a dar perdón a vender los datos de usuarios, el caso de Facebook siendo el más conocido.
Cuando dijimos “relativizar” no queremos decir que es benigno. Es por supuesto un irrespeto total de la privacidad.
Google pretende que se trata de un accidente. Sabiendo que unos desarrolladores pasan de una empresa a otra, no es sorprendente que eso pasara.
Lo que es menos claro es si Google hace eso porque quiere proteger nuestros datos o porque el bug hacía estos datos gratis…
¿Qué es una API?
Es un termino que se suele usar mucho con las redes sociales. Para resumir, se trata de un “conector” lado servidor (Google y los demás), que permite a desarrolladores establecer una comunicación con un sistema de información, o varios si se usan varios APIs.
Los “desarrolladores” escriben un “código” muy sencillo, aprovechando la sofisticación de estas APIs.
Es el momento donde acabamos de decepcionarlos todos: los que alardean con las “apps” que desarrollan sobre la “web”, se dan mucha importancia y hacen creer que son genios, en realidad hicieron muy poquito: el trabajo grande es la API.
Añadiremos que, efectivamente, conocemos desarrolladores de verdad (siempre desconocidos), y que, eventualmente, hemos escrito programas mucho más elaborados y creativos que los de los magos de las “apps”, pero eso es otro mundo.
Tal vez por eso, sabemos que tan complicado es elaborar estas APIs que muchos parecen pensar que aparecieron por generación espontánea.
Preguntas acidas
Si leen detalladamente el comunicado de Google, notaran que no dan una fecha de solución al problema. Se apaga Google+ para mucho tiempo, tal vez para siempre…
En un comunicado anterior, Google indicaba que “The consumer version of Google+ currently has low usage and engagement: 90 percent of Google+ user sessions are less than five seconds”.
Es decir, que consideran que finalmente, la frecuentación de la plataforma es demasiado baja para tener escrúpulos excesivos. De manera disfrazada y sutil, aprovechan el evento para terminar definitivamente una aplicación que no funciona.
¿Así es, o no?
Parece, sin embargo, extraño que Google abandone la batalla. Habrá que monitorear lo que pasa el año entrante, porque es probable que nazca algo nuevo, que prefieren reiniciar desde cero (si hay que invertir, que sea sobre un producto que lo valga).
Leave A Comment