ربما لم يكن هناك تسرب للبيانات أدى إلى مقتل + Google

لعدة أشهر ، تحاول Google التخلص من السخط المتزايد من المجتمع التقني ، ولكن في 8 أكتوبر ، انهار هذا السد أخيرًا ، ودُفن تحت أنباء عن خطأ في شبكة + Google التي نادرًا ما تستخدم ، ونتيجة لذلك يمكن أن تصبح معلومات نصف مليون مستخدم عامة. عثرت Google على الثغرة وأغلقتها في مارس ، في نفس الوقت الذي اكتسبت فيه القصة غير السارة مع Cambridge Analytica زخمًا. ومع ذلك ، مع ظهور الأخبار ، تزداد الخسائر. يتم إغلاق إصدار مستخدم Google+ ، ويبحث المشرعون عن الخصوصية في ألمانيا والولايات المتحدة بالفعل عن طرق لتقديم دعاوى قضائية ، ويتوقع المسؤولون السابقون في لجنة الأوراق المالية والبورصات الأمريكية صراحة ما ارتكبته Google من أخطاء.

تبدو الثغرة نفسها صغيرة نسبيًا. كان جوهر المشكلة هو واجهة برمجة تطبيقات محددة للمطورين ، والتي كان من الممكن الوصول إلى المعلومات غير العامة. ما هو مهم ، لا يوجد دليل على أن شخصًا ما استخدمه للوصول إلى البيانات الشخصية ، وبالنظر إلى قاعدة المستخدمين الميتة ، لا يُعرف مقدار هذه البيانات الشخصية التي يمكن رؤيتها على الإطلاق. من الناحية النظرية ، يمكن لأي شخص الوصول إلى واجهة برمجة التطبيقات ، ولكن 432 شخصًا فقط طلبوها (أكرر ، هذه Google+) ، حتى نفترض أنه لم يفكر أي منهم في ذلك.

لم تكن مشكلة أكبر بالنسبة لجوجل جريمة ، ولكن محاولة لإخفائها. تم إصلاح الثغرة الأمنية في مارس ، لكن الشركة لم تكشف عن هذه المعلومات لمدة سبعة أشهر أخرى ، حتى دخلت صحيفة وول ستريت جورنال في مناقشة هذا الخطأ. على ما يبدو ، أدركت الشركة أنها كانت تخرب - فلماذا تمسح الشبكة الاجتماعية من على وجه الأرض؟ - ولكن حول الخطأ الذي حدث بالضبط ، ومتى ، كل شيء مشوش للغاية ، ويكشف هذا الموقف عن مشاكل أعمق تتعلق بكيفية تعامل تكنومير مع هذه عضادات تتعلق بالخصوصية.

يأتي جزء من الإحباط من حقيقة أن Google نظيفة من وجهة النظر القانونية. هناك العديد من القوانين حول الحاجة إلى الإبلاغ عن الثغرات الأمنية - بشكل أساسي اللائحة العامة لحماية البيانات ، ولكن هناك أيضًا قوانين مختلفة على مستوى البلد - ومع ذلك ، وفقًا لمعاييرها ، لا يمكن أن يسمى ما حدث لـ + Google ، بشكل صارم ، الثغرة الأمنية. تتحدث القوانين عن الوصول غير المصرح به إلى معلومات المستخدم ، وتصف فكرة بسيطة: إذا سرق شخص ما بطاقتك الائتمانية أو هاتفك ، فلديك الحق في معرفة ذلك. لكن Google وجدت فقط أن هذه البيانات يمكن أن تكون متاحة للمطورين ، وليس أن البيانات تسربت حقًا في مكان ما. وبدون علامات واضحة على السرقة ، لا يلزم القانون الشركة بالإبلاغ عن ذلك. من وجهة نظر المحامين ، لم تكن هذه نقطة ضعف ، وكانت كافية فقط لحل هذه المشكلة بهدوء.

هناك الحجج التي تعارض الكشف عن مثل هذه الأخطاء ، على الرغم من الحكم من قبل العقل الخلفي ، فهي ليست مقنعة للغاية. تحتوي جميع الأنظمة على نقاط ضعف ، لذا فإن الإستراتيجية الجيدة الوحيدة من وجهة نظر أمنية هي البحث عنها باستمرار وإصلاحها. ونتيجة لذلك ، سيكون البرنامج الأكثر أمانًا هو البرنامج الذي تم فيه اكتشاف أكبر عدد من الأخطاء ومعالجتها ، حتى إذا بدا غير بديهي لمراقب خارجي. سيكون من الخطأ إجبار الشركات على الإبلاغ عن كل خطأ - اتضح أن هذه المنتجات التي تهتم أكثر بالمستخدمين ستتم معاقبتها.

بالطبع ، لسنوات عديدة انخرطت Google نفسها في التعرض المفاجئ لأخطاء الشركات الأخرى في إطار مشروع Project Zero - على وجه الخصوص ، فإن النقاد حريصون جدًا على مهاجمة نفاق الشركة الواضح. ومع ذلك ، سيخبرك فريق Project Zero أن الإبلاغ عن أطراف ثالثة هو عيار مختلف تمامًا ، ويجب أن يشجع هذا الكشف بشكل عام على إصلاح الأخطاء وبناء سمعة للمتسللين النبلاء الذين يبحثون عن الأخطاء.

هذا المنطق أكثر ملاءمة للأخطاء في البرامج من الشبكات الاجتماعية ومشكلات البيانات الشخصية ، ولكن في عالم الأمن السيبراني ، من الشائع جدًا ، ولن يكون من المبالغة القول أنه أثر على تدريب الفكر لدى Google عندما قرروا استبدال هذه القصة تحت السجادة.

ولكن بعد السقوط غير السار لفيسبوك ، يبدو أن الحجج من عالم الفقه والأمن السيبراني غير ذات صلة عمليًا. أصبح الاتفاق بين شركات التكنولوجيا ومستخدميها أكثر هشاشة من أي وقت مضى ، وهذه القصص تضر بها أكثر. المشكلة ليست في تسرب المعلومات ، بل في تسرب الثقة. حدث خطأ ما ، ولكن لم يقل أحد في Google ذلك. وإلى جانب التقارير من WSJ ، ربما ، لن يكون هناك شيء معروف عن هذا. من الصعب تجنب سؤال بلاغي غير سار: ما الذي لم يخبرونا به؟

من المبكر الحكم على ما إذا كانت Google ستواجه رداً سلبياً على هذا الحادث. يسمح لنا عدد قليل من الضحايا وعدم أهمية Google+ نسبيًا بالقول أنه من غير المحتمل. ولكن حتى لو لم تكن هذه الثغرة خطيرة ، فإن مثل هذه المشاكل تشكل تهديدًا حقيقيًا للمستخدمين والشركات التي يثقون بها. الارتباك حول كيفية تسميتها - خطأ ، تسريب ، ضعف - يتم فرضه على حقيقة أنه من غير الواضح ما هو المطلوب بالضبط من الشركات القيام به لمستخدميها ، عندما تكون ثغرة الخصوصية كبيرة ، ومدى التحكم في بياناتنا. هذه الأسئلة حاسمة في عصرنا التكنولوجي ، وإذا كانت الأيام القليلة الماضية قد علمتنا أي شيء ، فإن الصناعة لا تزال تحاول العثور على إجابات لهذه الأسئلة.