编译 & 编辑|Debra
AI 前线导读:
谷歌也将迎来它的“剑桥分析事件”时刻。当今年 3 月份 Facebook 被曝光剑桥分析事件之时,谷歌也发现了自家不可告人的秘密。
据报道,谷歌的安全漏洞允许第三方开发者自 2015 年起访问 Google+ 用户个人资料数据,直到 3 月份,Google 在才发现并修补了此漏洞,但并未通知全球用户此事。当用户授权应用程序访问其公开个人资料数据时,该漏洞还会让这些开发人员提取他们及其朋友的非公开个人资料数据。事实上,496,951 名用户的全名、电子邮件地址、出生日期、性别、个人资料照片、居住地、职业和关系状态都被曝光,但是 Google 表示,没有证据表明这些数据被 438 个可以访问的应用程序所滥用。
对此,谷歌已关闭 Google+,并进行隐私保护改革进行回应。
更多干货内容请关注微信公众号“AI 前线”(ID:ai-front)
关闭 Google+,改革隐私政策
这个问题听起来很熟悉对吧?因为这几乎与马克·扎克伯格在美国国会被质问的问题一模一样。华尔街日报周一透露,该公司选择不披露数据泄露事故,是为了避免令人头痛的舆论压力和可能引起的监管执法。
根据谷歌的一份内部备忘录,其决定不将此事告知公众的原因,在于它会导致“谷歌将会被牵扯进,甚至取代 Facebook 的剑桥分析事件,成为新的焦点”。该备忘录表明,谷歌 CEO Sundar Pichai 极有可能会被国会传召,并立即引来监管介入。
现在,实际上已经被遗弃的 Google+,让谷歌背负巨大的责任。
漏洞曝光后不久,谷歌宣布将关闭消费者对 Google+ 的访问权限,并改善对第三方应用程序的隐私保护。
在一篇博客文章中,谷歌披露了数据泄露可能会影响多达 50 万个账户。由于该错误,多达 438 个不同的第三方应用程序可能已访问私人信息,但谷歌显然不知道数据是否被使用,因为其只保留两周的 API 使用日志。
“我们没有发现任何开发人员知道这个错误或滥用 API 的证据,我们没有发现任何个人资料数据被误用的证据,”工程副总裁 Ben Smith 在博文中写道。
史密斯为不披露数据泄漏事件辩解道:“当用户数据受到影响时,我们会按照法律要求,并根据条件确定是否通知用户。”
没有联邦法律要求谷歌必须披露数据泄露事件,但州一级有相关法律规定。在谷歌总部所在的加利福尼亚州,只有公司获取用户姓名和社保号码,身份证或驾驶执照号码,车牌,医疗信息或健康保险信息,才需要披露数据泄露。
华尔街日报报道称,谷歌有望在今天宣布一系列隐私改革以应对这一漏洞。在 WSJ 报告发布后几分钟,谷歌公布了其 Strobe 安全审计项目的调查结果(https://www.blog.google/technology/safety-security/project-strobe/) 。这些变化包括阻止大多数第三方开发者访问 Android 手机短信数据,通话记录和一些联系信息。Gmail 将限制为少数开发人员构建附加组件。Google+ 将在未来 10 个月内停止其所有消费者服务,并有机会让用户在重新制作 G+ 企业产品时导出数据。
Google 还将更改其帐户权限系统,当第三方应用访问用户数据时,用户必须单独确认每种类型的访问权限,而不是一次性确认。Gmail 附加组件仅限于“直接增强电子邮件功能”,包括电子邮件客户端,备份,CRM,邮件合并和效能工具。
90%的 Google+ 会话不到 5 秒
令人尴尬的是,谷歌为之大费周章的 Google+ 实际上消费者和开发者采用率却很低,用户互动率少得可怜。目前,Google+ 的消费者版本使用率和参与度较低:90%的 Google+ 用户会话时间不到 5 秒。关于 Google+ 消亡的更多消息:https://techcrunch.com/2014/04/24/google-is-walking-dead/。
由于此漏洞和随后的安全漏洞始于 2015 年,并且是在欧洲 GDPR 于 5 月生效之前的 3 月份被发现的,谷歌可能会因为其未能在 72 小时内披露该问题而被罚全球年度收入的 2% 作为罚款。此外,该公司还可能面临集体诉讼和来自公众的强烈反对。好消息是,G + 的帖子和消息、Google 帐户数据和电话号码以及 G Suite 企业的内容未被曝光。
如果你不记得的话,Google+ 长这样
由于尚不清楚 G + 用户数据是否被删除或被用于恶意目的,因此漏洞的消息可能最终慢慢被淡忘,类似此前 Facebook 5000 万用户隐私泄露事件被遗忘一样。但是谷歌的欲盖弥彰适得其反,不但让问题更加严重,还导致人们质疑这家公司对于其他问题的做法是否保持透明。
正如该公司所担心的那样,这场惨败可能会让谷歌被拖进 Facebook 已经深为其扰,并且正在发酵的审核问题漩涡之中。谷歌已经设法摆脱 Facebook 和 Twitter 上的大部分批评,声称它不是真正的社交网络公司。但现在,这件事可能会拖累这家搜索巨头,它将面临更加严格的监管,以及国会的质问。
用户隐私何去何从?
今年早些时候,美国教授 David Carroll 起诉剑桥分析公司,想了解该公司如何存储关于他的数据。他说,有了 Facebook 对剑桥分析事件的遮遮掩掩,谷歌试图将泄密事件排除在公众视线之外不足为奇。
他表示:“Google 对此表示关注,关闭 Google+ 会显示出任何事物在面对问责制时是多么脆弱。”
对于其他人来说,此次数据泄漏事件进一步证明了大型技术平台需要更多的监管和监督。
“像谷歌和 Facebook 这样的垄断互联网平台'太大而无法保障安全',是'不可轻易相信的庞然大物',”经济与政策研究中心的 Jeff Hauser 说道。
他认为,美国联邦贸易委员会应该“打破这些平台”。
“在此期间,由于我们不认为我们对公众应该了解,或者大部分公众关心的内容,因此 FTC(联邦贸易委员会)应该在公司内部署具有公共意识的隐私监督机构,作为问责制的一部分。”
原文链接:
https://techcrunch.com/2018/10/08/google-plus-hack/
https://www.theguardian.com/technology/2018/oct/08/google-plus-security-breach-wall-street-journal
如果你喜欢这篇文章,或希望看到更多类似优质报道,记得给我留言和点赞哦!
继续阅读
阅读原文