The Wall Street Journal afirma que Google decidió no hacer público el fallo de seguridad por temor al control regulatorio y para evitar ser el centro de atención junto a Facebook, que en marzo se tuvo que enfrentar al escándalo de Cambridge Analytica. Google reconoce que descubrió el agujero de seguridad gracias a Project Strobe, una iniciativa interna que tiene como objetivo revisar el acceso y los permisos que tienen mediante las API los desarrolladores externos.
Google también afirma que después de la revisión no encontró pruebas de que ningún desarrollador llegase a descubrir la vulnerabilidad ni que los datos expuestos hayan sido usados con malas intenciones. La compañía dice que hasta 438 aplicaciones podrían haber hecho uso del fallo de seguridad, que afectó a cerca de 500.000 usuarios. Entre la información vulnerable se encontraban nombres completos, direcciones de correo electrónico, fechas de nacimiento, el sexo, fotos de perfil, lugares de residencia y ocupación.
Además de cerrar la red social, que a día de hoy es una ciudad fantasma, Google también ha anunciado haber tomado medidas de seguridad. Los cambios en las API restringirán el acceso que los desarrolladores tienen a los datos de los dispositivos Android y cuentas Gmail, modificando los permisos para que estos sean más concretos y solo accedan a la información realmente necesaria.
Quedan por ver las consecuencias legales y económicas de este agujero de seguridad, que en un principio fue descubierto antes de que el Reglamento General de Protección de Datos estuviera vigente en la Unión Europea. Sin embargo este fallo y su mala gestión restan confianza a Google, que aún puede enfrentarse a demandas colectivas y multas. La pérdida de Google+, que por algún extraño motivo mantendrá en su versión empresarial, no parece que vaya a ser llorada por demasiados usuarios.