50萬用戶賬號資料洩露 "不作惡"的谷歌又陷隱私問題
作者:來莎莎
“不作惡”的 谷歌 又陷入隱私問題。 Facebook 風波尚未過去,谷歌又被爆洩露使用者賬戶資料。
週一,谷歌母公司Alphabet宣佈,將關閉旗下社交網站Google+的消費者版本。
這一決定主要源於媒體對Google+安全漏洞的曝光。當天早些時候,有報道稱,Google+的漏洞導致使用者的資料可能曝露給外部開發者。
該安全漏洞從2015年就出現,谷歌在今年三月才發現並修復這一漏洞,但並未打算向外界披露。谷歌擔心一旦披露漏洞會引起監管部門審查並導致公司聲譽受損,可能面臨比Facebook更遭的處境。
受該訊息影響,谷歌母公司Alphabet股價下跌1.02%,報收1155.92美元。
知而不報
今年年初,谷歌設立了一個名為Project Strobe的隱私和安全審查專案,對第三方開發人員訪問谷歌帳戶和Android裝置資料,以及圍繞APP資料訪問的理念進行了徹底的審查。
Google+ 漏洞導致使用者賬號洩露問題正是在此次評估時被發現的。
谷歌公司通過API(應用程式程式設計介面)向外部開發人員提供使用者資料。這些工具通常需要獲得使用者許可才能訪問任何資訊,但是這可能被一些APP開發者濫用,以獲取敏感資料的訪問許可權。
谷歌的調查發現,由於Google+ API的漏洞,開發人員可以收集Google+ 使用者朋友的個人資料資料,即使這些資料在隱私設定中明確標記為非公開。
谷歌宣告顯示,有50萬用戶的姓名、郵箱、職業、性別、年齡等可能被洩露,約有438個應用訪問了這些資料。但谷歌稱,沒有發現任何開發人員意識到這一漏洞或濫用API,也未發現任何配置檔案資料被濫用。
週一,在上述問題被曝光後,谷歌在部落格中表示,除了關閉Google+消費者版本,還將推出新的隱私工具,限制開發者使用從電子郵件到檔案儲存等產品的資訊。
谷歌工程副總裁本·史密斯(Ben Smith)在部落格中稱,在3月發現這一漏洞後,谷歌立即修復了該漏洞。
為何不向公眾公佈這一漏洞?本·史密斯稱,谷歌的隱私和資料保護辦公室審查了這個問題,查看了所涉及的資料型別,考慮了是否可以準確識別並通知使用者,是否有任何濫用的證據,以及開發人員或使用者是否可以採取任何行動以作出迴應。評估後,谷歌認為無需通報此次漏洞事件。
不過,他也承認要讓Google+成功運營面臨重大挑戰,考慮到Google+消費者版使用率非常低,谷歌決定關閉Google+消費者版,將在10個月內實施這一計劃,並在明年8月底完成。
或許決定不通報這一事件的更重要原因是谷歌將面臨監管和聲譽問題。有訊息指出,谷歌法律和政策工作人員編寫的備忘錄警告稱,披露此事件可能會面臨當局監管問題,並將該事件與Facebook洩露使用者資訊給資料公司Cambridge Analytica進行比較。
隱私問題何時停?
這並非谷歌今年首次碰到隱私問題。4月,多個隱私及兒童保護團體向美國聯邦貿易委員會(FTC)提交檔案,指控YouTube,違法收集13歲以下兒童資料。
就在兩個月前,美聯社的一項調查顯示,安卓裝置和 蘋果 手機上的許多谷歌服務都會儲存使用者的位置資料,即使使用者已經在隱私設定中關閉了位置記錄,谷歌仍會偷偷記錄其位置資訊。
在大多數情況下,谷歌都會提前申請使用位置資訊。例如,谷歌地圖等應用會提醒使用者,如果使用地圖導航,需要訪問位置資訊。一旦同意讓其記錄位置,谷歌地圖會在“時間軸”中顯示歷史記錄,記錄使用者的日常活動。
去年,谷歌被指通過收集附近手機基站的地址來追蹤安卓使用者,即使所有位置服務都已關閉。
此次漏洞事件曝光也進一步讓谷歌面臨困境。在過去的幾個月裡,美國政客也加大了對谷歌的攻擊力度,共和黨人指責谷歌對其持有偏見,民主黨人質疑該公司是否變得過於強大。
此前,谷歌拒絕將CEO桑達爾·皮查伊送到9月5日的參議院情報委員會聽證會。當時,Facebook的營運長和 Twitter 公司的執行長均出席該聽證會。
不過,9月底,路透社報道稱,皮查伊同意在今年晚些時候向美國眾議院司法委員會作證。據悉,共和黨人想要了解,谷歌的搜尋演算法是否受到人類偏見的影響,並進一步調查隱私等問題。