Fem minutter på denne Google-siden viser deg hvem som har tilgang til kontoen din

På adressen myaccount.google.com/permissions ligger en oversikt de fleste norske brukere aldri har åpnet. Her ser du hver eneste tredjepartsapp som en gang har fått tilgang til Google-kontoen din, og hvilke data de kan hente ut.

Mange av oppføringene stammer fra tjenester du for lengst har sluttet å bruke. Tillatelsen forsvinner ikke av seg selv når du sletter appen fra telefonen eller logger av nettsiden. Den blir liggende til du aktivt fjerner den.

Tre nivåer av tilgang

Når du logger på en tjeneste med Google-kontoen din, ber appen om en av tre typer tilgang. Det enkleste nivået gir appen bare grunnleggende profilinformasjon, som navn, e-postadresse og profilbilde.

Det neste nivået lar appen kopiere data fra kontoen, for eksempel kontakter, bilder eller YouTube-spillelister. Det dypeste nivået gir appen lov til å «redigere, laste opp, opprette eller slette data» i kontoen din, ifølge Googles egen veiledning.

Det er denne siste kategorien som er verdt å gå gjennom først. En kalenderapp du brukte i 2021 kan fortsatt ha rett til å opprette og slette avtaler i Google Calendar i dag.

Slik gjør du opprydningen

Gå inn på permissions-siden og klikk på en app du ikke kjenner igjen eller ikke lenger bruker. Da får du opp en detaljvisning som forteller nøyaktig hvilke deler av Google-kontoen appen har tilgang til, og når tilgangen ble gitt.

Velg «Fjern tilgang» og bekreft. Google påpeker selv at sletting av koblingen ikke fjerner data appen allerede har hentet ut. Vil du fjerne den informasjonen, må du gå til tjenesten selv og be om sletting der.

En fornuftig tommelfingerregel er å rydde i listen hver sjette måned, eller umiddelbart etter at du slutter å bruke en tjeneste.

Hvorfor dette ikke er paranoia

Tilgangstokenene Google deler ut, har ingen utløpsdato med mindre brukeren eller appen selv aktivt opphever dem. Det betyr at en glemt tillatelse fra 2019 fortsatt kan være aktiv i dag.

I januar 2025 avdekket sikkerhetsforskeren Dylan Ayrey en sårbarhet som viste hvorfor dette betyr noe i praksis. Ved å kjøpe domener fra konkursrammede oppstartsbedrifter kunne en angriper gjenopprette e-postadressene til tidligere ansatte og dermed låse opp tjenester som ChatGPT, Slack, Notion, Zoom og HR-systemer som var koblet til de gamle Google-kontoene.

«De mest sensitive kontoene inkluderte HR-systemer som inneholdt skattepapirer, lønnsslipper, forsikringsinformasjon og personnumre,» skrev The Hacker News om funnet. Google klassifiserte saken som misbruk med høy effekt og tildelte forskeren en bug bounty på 1.337 dollar.

For privatpersoner er trusselbildet annerledes, men prinsippet det samme: jo flere apper med stående tilgang, jo større er angrepsflaten dersom en av leverandørene blir kompromittert.

Ta Google Sikkerhetskontroll mens du er der

Mens du er innlogget, anbefaler Google at du også går gjennom Sikkerhetskontroll på adressen myaccount.google.com/security-checkup. Verktøyet samler enheter som er logget på kontoen, nylige sikkerhetshendelser og en sjekk av om passordet ditt har dukket opp i kjente datalekkasjer.

Google fraråder uttrykkelig at brukere deler Google-passordet sitt med tredjepartsapper. Selve poenget med tilgangsmodellen er at apper skal kunne lese eller endre utvalgte data uten noensinne å se passordet ditt. Hvis en tjeneste ber om passordet direkte, er det et tegn på at noe er galt.

Hele rundgangen tar typisk under fem minutter. Det er sannsynligvis den raskeste sikkerhetsforbedringen du kan gjøre på Google-kontoen din i dag.