Google ha deciso di mandare lentamente in pensione Google+ a causa di una pesante falla alla sua sicurezza, causata da un errore nello sviluppo di una API che ha permesso alle applicazioni di terze parti di accedere ai dati degli utenti. Quando un utente dava l'autorizzazione ad accedere ai suoi dati personali, l'errore nella API (più precisamente una interazione imprevista con una successiva modifica al codice di Google+) permetteva all'applicazione autorizzata di accedere non solo alle informazioni del proprio profilo indicate come pubbliche ma anche ad altre private.

Google stima che questa falla nella sicurezza delle informazioni possa aver coinvolto potenzialmente circa mezzo milione di utenti, attraverso oltre 400 applicazioni di terze parti. Google ritiene che il rischio per gli utenti sia stato minimo perché, per quanto ha potuto verificare, nessuno sviluppatore è venuto a conoscenza del bug e questo non è stato sfruttato. Il problema è che Google non può avere una visione completa di cosa sia successo perché i file di log che registrano il funzionamento di una API sono conservati solo per due settimane. Scelta che - in questo caso un po' paradossalmente - è corretta e fatta in nome proprio della privacy.

La soluzione scelta da Google per questa falla non è stata solo correggere la API. La casa di Mountain View ha anche certificato una cosa che gli utenti di Google+ sapevano già: non vale la pena tenerlo in piedi perché le interazioni sulla piattaforma sono troppo poche rispetto allo sforzo richiesto per mantenerla. Da qui la decisione di chiudere la parte consumer di Google+ nel giro di dieci mesi, con l'obiettivo di completare la chiusura entro fine agosto 2019.
La decisione non riguarda la parte enterprise di Google+, ossia la piattaforma che le aziende possono usare per creare social network interni. Qui i controlli di sicurezza possono essere molto più stringenti e le reti più protette, quindi Google continuerà a sviluppare questo volto di Google+ e anzi vi aggiungerà nuove funzioni.

Queste decisioni non eliminano però un dettaglio importante: con tutta probabilità non avremmo saputo nulla della falla di Google+ se non ne avesse parlato il The Wall Street Journal. Google l'aveva scoperta già lo scorso marzo ma non ne aveva dato alcuna comunicazione per, sostiene il quotidiano, evitare danni di immagine in una fase in cui l'attenzione del pubblico alla privacy sta aumentando. Una copertura che oltretutto ora sarebbe in netta violazione di norme come il GDPR.

Le paure di Google sono fondate: ora che la falla nella sicurezza di Google+ è venuta alla luce molti si chiedono se questa non abbia in qualche modo comportato una maggiore vulnerabilità anche di Gmail. Milioni di persone hanno un account di posta Gmail che usano anche per accedere a miriadi di servizi esterni a Google. Forse non a caso, contestualmente all'annuncio della falla Google ha anche annunciato un potenziamento delle funzioni di sicurezza collegate agli account Google.