50万用户账号数据泄露 “不作恶”的谷歌又陷隐私问题

  作者:来莎莎

  “不作恶”的谷歌又陷入隐私问题。Facebook风波尚未过去,谷歌又被爆泄露用户账户数据。

  周一,谷歌母公司Alphabet宣布,将关闭旗下社交网站Google+的消费者版本。

  这一决定主要源于媒体对Google+安全漏洞的曝光。当天早些时候,有报道称,Google+的漏洞导致用户的数据可能曝露给外部开发者。

  该安全漏洞从2015年就出现,谷歌在今年三月才发现并修复这一漏洞,但并未打算向外界披露。谷歌担心一旦披露漏洞会引起监管部门审查并导致公司声誉受损,可能面临比Facebook更遭的处境。

  受该消息影响,谷歌母公司Alphabet股价下跌1.02%,报收1155.92美元。

  知而不报

  今年年初,谷歌设立了一个名为Project Strobe的隐私和安全审查项目,对第三方开发人员访问谷歌帐户和Android设备数据,以及围绕APP数据访问的理念进行了彻底的审查。

  Google+ 漏洞导致用户账号泄露问题正是在此次评估时被发现的。

  谷歌公司通过API(应用程序编程接口)向外部开发人员提供用户数据。这些工具通常需要获得用户许可才能访问任何信息,但是这可能被一些APP开发者滥用,以获取敏感数据的访问权限。

  谷歌的调查发现,由于Google+ API的漏洞,开发人员可以收集Google+ 用户朋友的个人资料数据,即使这些数据在隐私设置中明确标记为非公开。

  谷歌声明显示,有50万用户的姓名、邮箱、职业、性别、年龄等可能被泄露,约有438个应用访问了这些数据。但谷歌称,没有发现任何开发人员意识到这一漏洞或滥用API,也未发现任何配置文件数据被滥用。

  周一,在上述问题被曝光后,谷歌在博客中表示,除了关闭Google+消费者版本,还将推出新的隐私工具,限制开发者使用从电子邮件到文件存储等产品的信息。

  谷歌工程副总裁本·史密斯(Ben Smith)在博客中称,在3月发现这一漏洞后,谷歌立即修复了该漏洞。

  为何不向公众公布这一漏洞?本·史密斯称,谷歌的隐私和数据保护办公室审查了这个问题,查看了所涉及的数据类型,考虑了是否可以准确识别并通知用户,是否有任何滥用的证据,以及开发人员或用户是否可以采取任何行动以作出回应。评估后,谷歌认为无需通报此次漏洞事件。

  不过,他也承认要让Google+成功运营面临重大挑战,考虑到Google+消费者版使用率非常低,谷歌决定关闭Google+消费者版,将在10个月内实施这一计划,并在明年8月底完成。

  或许决定不通报这一事件的更重要原因是谷歌将面临监管和声誉问题。有消息指出,谷歌法律和政策工作人员编写的备忘录警告称,披露此事件可能会面临当局监管问题,并将该事件与Facebook泄露用户信息给数据公司Cambridge Analytica进行比较。

  隐私问题何时停?

  这并非谷歌今年首次碰到隐私问题。4月,多个隐私及儿童保护团体向美国联邦贸易委员会(FTC)提交文件,指控YouTube,违法收集13岁以下儿童数据。

  就在两个月前,美联社的一项调查显示,安卓设备和苹果手机上的许多谷歌服务都会存储用户的位置数据,即使用户已经在隐私设置中关闭了位置记录,谷歌仍会偷偷记录其位置信息。

  在大多数情况下,谷歌都会提前申请使用位置信息。例如,谷歌地图等应用会提醒用户,如果使用地图导航,需要访问位置信息。一旦同意让其记录位置,谷歌地图会在“时间轴”中显示历史记录,记录用户的日常活动。

  去年,谷歌被指通过收集附近手机基站的地址来追踪安卓用户,即使所有位置服务都已关闭。

  此次漏洞事件曝光也进一步让谷歌面临困境。在过去的几个月里,美国政客也加大了对谷歌的攻击力度,共和党人指责谷歌对其持有偏见,民主党人质疑该公司是否变得过于强大。

  此前,谷歌拒绝将CEO桑达尔·皮查伊送到9月5日的参议院情报委员会听证会。当时,Facebook的首席运营官和Twitter公司的首席执行官均出席该听证会。

  不过,9月底,路透社报道称,皮查伊同意在今年晚些时候向美国众议院司法委员会作证。据悉,共和党人想要了解,谷歌的搜索算法是否受到人类偏见的影响,并进一步调查隐私等问题。



0 条回复

发表评论

发表评论

邮箱地址不会被公开。 必填项已用*标注