Début octobre, nous apprenions la décisions de fermer son réseau social Google+ en raison de la découverte d'un important problème de sécurité. Le processus de fermeture étant progressif, il devait arriver à son terme fin août 2019. Mais Google vient de découvrir un autre important problème de sécurité, et du coup, accélère les choses.

C'est ainsi que la fermeture de Google+ grand public devrait être définitive en avril 2019. Par ailleurs l'accès au API de Google+ sera fermé d'ici 90 jours.

Nous avons récemment déterminé que la mise à jour de logiciel introduite en novembre contenant des bugs affectant une API Google+ avait eu des répercussions sur certains utilisateurs. Nous avons découvert ce bogue dans le cadre de nos procédures de test standard et en cours et nous l'avons corrigé une semaine après son introduction. Aucune tierce partie n'a compromis nos systèmes et nous n'avons aucune preuve que les développeurs d'applications qui avaient eu cet accès par inadvertance pendant six jours en étaient au courant ou en avaient fait un usage abusif, indique Google dans un billet. 

Google indique mener l'enquête sur ce problème. Cette enquête n'est pas terminée, mais Google livre quelques résultats provisoires :

Notre enquête sur l'impact du bogue est en cours, mais voici ce que nous avons appris jusqu'à présent:

• Nous avons confirmé que le bogue avait affecté environ 52,5 millions d'utilisateurs liés à une API Google+ .
• En ce qui concerne cette API, les applications qui demandaient l'autorisation d'afficher les informations de profil qu'un utilisateur avait ajoutées à leur profil Google+, telles que leurs nom, adresse e-mail, profession, âge (liste complète ici), obtenaient l'autorisation d'afficher les informations de profil de cet utilisateur. même lorsqu'il est réglé sur non public.
• En outre, les applications ayant accès aux données de profil Google+ d'un utilisateur avaient également accès aux données de profil qui avaient été partagées avec l'utilisateur consentant par un autre utilisateur Google+ mais qui n'étaient pas partagées publiquement.
• Le bogue ne permettait pas aux développeurs d’avoir accès à des informations telles que des données financières, des numéros d’identification nationaux, des mots de passe ou des données similaires généralement utilisées pour la fraude ou le vol d’identité.
• Aucune tierce partie n'a compromis nos systèmes et nous n'avons aucune preuve que les développeurs qui ont eu cet accès par inadvertance pendant six jours en étaient au courant ou en ont fait un usage abusif.