Tot maart 2018 zorgde een bug in de API van Google+ ervoor dat apps toegang konden krijgen tot gegevens die nochtans niet door gebruikers op 'openbaar' waren gezet. Het ging om namen, e-mailadressen, beroepen, het geslacht en de leeftijd van gebruikers. Private berichten, foto's, video's of telefoonnummers konden níet bemachtigd worden.

In een blogpost bevestigde Ben Smith, vicepresident Engineering bij Google, dat 500.000 accounts op Google + kwetsbaar waren voor het gegevenslek. Welke gebruikers mogelijk getroffen zijn, kan Google naar eigen zeggen niet meer achterhalen omdat het "de logdata maar twee weken bijhoudt."

Datalek verzwegen

Volgens The Wall Street Journal, dat het nieuws naar buiten bracht, bestond de kwetsbaarheid al sinds 2015. In maart van dit jaar heeft Google de bug hersteld, nadat het die tijdens een intern onderzoek zelf ontdekt had.

Wat het bedrijf een half jaar geleden níét gedaan heeft: haar gebruikers inlichten. Google vond dat niet nodig omdat er geen bewijs was dat de data werd misbruikt.

Het melden van zulke datalekken was toen ook niet verplicht. Sinds 25 mei, na het in voege treden van de GDPR, moet dat in Europa wél gebeuren, binnen de 72 uur. Mocht het lek een aantal maanden later plaatsgevonden hebben, zou Google een boete geriskeerd hebben die kon oplopen tot 2 procent van haar jaaromzet.

Volgens The Wall Street Journal heeft Google het datalek stilgehouden uit vrees voor reputatieschade. De krant refereert aan een intern document waarin juridische adviseurs van Google de top van het bedrijf inlichten over de gevolgen van het openbaar maken van het lek. Daarin wordt gewaarschuwd om in het vizier van toezichthouders te komen en gevreesd voor vergelijkingen met het Cambridge Analytica-schandaal. In dezelfde maand was immers bekend geraakt dat de gegevens van miljoenen Facebook-gebruikers waren misbruikt, eveneens via een externe app.

Google + opgedoekt

Nu Google door de berichtgeving van The Wall Street Journal alsnog gedwongen wordt om het datalek in de openbaarheid te brengen, kondigt het bedrijf een aantal privacymaatregelen aan. Zo wil het de toegang tot persoonlijke data beperken voor externe ontwikkelaars die gebruikmaken maken van de API's van Google.

De meest drastische maatregel is echter dat Google+ verdwijnt. Google geeft zichzelf tien maanden om de consumentenversie van haar sociale netwerk af te bouwen. Het definitieve einde ervan is voorzien voor eind augustus volgend jaar. Google+ wordt ook gebruikt door bedrijven. Die zakelijke dienst zal wél nog blijven bestaan.

Google+ is misschien wel het minst succesvolle project dat het bedrijf ooit gelanceerd heeft. Google geeft nu ook zelf onomwonden toe dat haar sociaal netwerk amper gebruikt wordt. En als iemand wel eens gebruik maakt van Google+ "dan duurt die sessie in 90 procent van de gevallen minder van vijf seconden", aldus Smith.

Google+ werd in 2011 gelanceerd om de strijd aan te gaan met Facebook, maar die ambitie heeft het platform nooit kunnen waarmaken.