Google verplicht voortaan dure security audits bij Gmail API’s

Om misbruik van API’s te voorkomen na het drama rond Facebook en Cambridge Analytica, verplicht Google voortaan security audits. Die zijn niet goedkoop: 15.000 dollar tot 75.000 dollar of zelfs meer. Heel wat ontwikkelaars zitten met de handen in het haar. Deadline om in te tekenen: 15 februari.

Het drama rond Cambridge Analytica en Facebook heeft heel wat bedrijven op scherp gezet. Ook Google trekt nu aan de handrem wat betreft gevoelige Gmail API’s. Ontwikkelaars die hiervan gebruik willen maken, moeten voortaan een security audit betalen.

Google heeft twee gespecialiseerde bureaus aangesteld die de audits voor zich zullen nemen. Prijzen variëren jaarlijks tussen de 15.000 dollar en 75.000 dollar of meer. De nieuwe regels werden op 15 januari voorgesteld en gaan in vanaf 15 februari voor bestaande klanten. Wie tegen die deadline geen aanvraag heeft ingediend, kan vanaf 22 februari geen nieuwe gebruikers meer aanmaken en wordt verbannen op 31 maart.

Gmail API’s

Voor alle duidelijkheid: het gaat hier niet over alle Gmail API’s van Google. Het zijn vooral de privacygevoelige varianten, zoals bijvoordeeld Google OAuth API Scopes, die een audit vereisen. Hiermee kan je namelijk berichten en bijlagen lezen, metadata verzamelen en mailboxtoegang controleren. Hoe crucialer de API, hoe strikter de regels. Sommige hebben maar één audit nodig, anderen vereisen jaarlijkse controles.

Het nieuws komt niet als een donderdagslag bij heldere hemel. Eind vorig jaar heeft Google zijn nieuwe privacyplannen toegelicht nadat de Wall Street Journal een rapport publiceerde hoeveel gegevens ontwikkelaars uit Gmail kunnen halen.

Via The Register hebben twee partijen al gereageerd hoe dramatisch deze beslissing is voor hen.

Reacties

Clean Email uitvinder Kyryl Bystriakov vind het goed dat API’s extra worden gecontroleerd, maar niet op deze manier. “Ik ben ervan overtuigd dat dit overkill is en dat het de developer community zal schaden. Er is ook geen ruimte om te onderhandelen over de prijs van de audits. Er werden twee partijen aangesteld die nu in principe een monopolie hebben over duizenden apps.”

James Ivings, uitvinder van SquareCat, hoopt dat Google op een andere manier de veiligheid zal controleren. “Het toekennen van straffen aan bedrijven die misbruik maken van de gegevens kan effectief zijn. Ze kunnen ook een granulaire of beperkende set van API’s beschikbaar stellen. GitHub API’s beperken namelijk heel wat data zoals emailadressen of het bewerken van bestanden. Dat staat in schril contrast met Googles eigen ‘je-kan-nu-alles-lezen’-regels.”

 

Gerelateerd: API-beleid in Vlaanderen: ‘We willen de bol.com van de overheid zijn’