Selama berbulan-bulan, Google telah mencoba untuk menyangkal meningkatnya kemarahan komunitas teknis, tetapi pada 8 Oktober, bendungan ini akhirnya runtuh, terkubur di bawah
berita tentang kesalahan pada jaringan Google+ yang jarang digunakan, sebagai hasilnya informasi pribadi setengah juta pengguna dapat menjadi publik. Google menemukan dan menutup kerentanan kembali pada bulan Maret, pada waktu yang hampir bersamaan
dengan kisah tidak menyenangkan dengan Cambridge Analytica yang mendapatkan momentum. Namun, dengan munculnya berita, kerugian meningkat. Versi pengguna Google+
ditutup , pembuat undang-undang privasi di
Jerman dan
AS sudah mencari cara untuk mengajukan tuntutan hukum, dan mantan pejabat Komisi Sekuritas dan Bursa AS secara terbuka
berspekulasi tentang apa yang Google lakukan salah.
Kerentanan itu sendiri tampaknya relatif kecil. Inti dari masalah adalah API khusus untuk pengembang, yang memungkinkan untuk mengakses informasi non-publik. Yang penting, tidak ada bukti bahwa seseorang menggunakannya untuk mengakses data pribadi, dan, mengingat basis pengguna yang mati, tidak diketahui seberapa banyak data pribadi ini dapat dilihat. Secara teoritis, siapa pun bisa mendapatkan akses ke API, tetapi hanya 432 orang yang memintanya (saya ulangi, ini Google+), jadi kami dapat berasumsi bahwa tidak ada di antara mereka yang pernah memikirkan hal itu.
Masalah yang jauh lebih besar bagi Google bukanlah kejahatan, tetapi upaya untuk menyembunyikannya. Kerentanan telah diperbaiki pada bulan Maret, tetapi perusahaan tidak mengungkapkan informasi ini selama tujuh bulan lagi, sampai The Wall Street Journal
terlibat dalam
diskusi tentang kesalahan ini. Perusahaan itu, tampaknya, mengerti bahwa itu mengacau - mengapa lagi menghapus jaringan sosial dari muka bumi? - tetapi tentang apa yang sebenarnya salah, dan kapan, semuanya sangat bingung, dan situasi ini mengungkapkan masalah yang lebih dalam terkait dengan bagaimana technomir berurusan dengan tiang tembok yang terkait dengan privasi.
Sebagian dari frustrasi berasal dari kenyataan bahwa, dari sudut pandang hukum, Google bersih. Ada banyak undang-undang tentang perlunya melaporkan kerentanan - terutama
GDPR , tetapi ada juga undang-undang yang berbeda di tingkat negara - namun, menurut standar mereka, apa yang terjadi pada Google+ tidak dapat, secara tegas, disebut kerentanan. Undang-undang tersebut berbicara tentang akses tidak sah ke informasi pengguna, yang menggambarkan ide sederhana: jika seseorang mencuri kartu kredit atau telepon Anda, Anda memiliki hak untuk mengetahuinya. Tetapi Google hanya menemukan bahwa data ini dapat tersedia untuk pengembang, dan bukan bahwa data benar-benar bocor di suatu tempat. Dan tanpa tanda-tanda pencurian yang jelas, perusahaan tidak diharuskan oleh hukum untuk melaporkan hal ini. Dari sudut pandang pengacara, ini bukan kerentanan, dan cukup hanya dengan diam-diam menyelesaikan masalah ini.
Ada argumen yang menentang pengungkapan kesalahan semacam itu, meskipun dinilai dari pikiran belakangnya, mereka tidak begitu meyakinkan. Semua sistem memiliki kerentanan, sehingga satu-satunya strategi yang baik dari sudut pandang keamanan adalah untuk terus mencari dan memperbaikinya. Akibatnya, perangkat lunak teraman akan menjadi salah satu di mana jumlah kesalahan terbesar ditemukan dan ditambal, bahkan jika itu tampaknya berlawanan dengan pengamat luar. Adalah salah untuk memaksa perusahaan melaporkan setiap kesalahan - ternyata produk-produk yang paling peduli dengan pengguna akan paling dihukum.
Tentu saja, selama bertahun-tahun Google sendiri telah terlibat dalam paparan mendadak kesalahan perusahaan lain dalam kerangka proyek Project Zero - khususnya, oleh karena itu, para kritikus begitu bersemangat untuk menyerang kemunafikan perusahaan yang jelas. Namun, tim Project Zero akan memberi tahu Anda bahwa melaporkan pihak ketiga adalah kaliber yang sama sekali berbeda, dan pengungkapan seperti itu pada umumnya harus mendorong perbaikan bug dan membangun reputasi bagi peretas mulia yang mencari bug.
Logika ini lebih cocok untuk kesalahan dalam perangkat lunak daripada untuk jaringan sosial dan masalah data pribadi, tetapi di dunia cybersecurity itu cukup umum, dan tidak berlebihan untuk mengatakan bahwa hal itu memengaruhi kereta pemikiran Google ketika mereka memutuskan untuk mengganti cerita ini di bawah karpet.
Tetapi setelah jatuhnya Facebook yang tidak menyenangkan, tampaknya argumen dari dunia yurisprudensi dan cybersecurity praktis tidak relevan. Kesepakatan antara perusahaan teknologi dan penggunanya lebih rapuh dari sebelumnya, dan kisah-kisah semacam itu bahkan semakin membahayakan dirinya. Masalahnya bukan kebocoran informasi, tetapi kebocoran kepercayaan. Ada yang salah, tetapi tidak ada seorang pun di Google yang mengatakan itu. Dan selain melaporkan dari WSJ, mungkin, tidak ada yang diketahui tentang ini. Sulit untuk menghindari pertanyaan retoris yang tidak menyenangkan: apa lagi yang tidak mereka katakan kepada kita?
Masih terlalu dini untuk menilai apakah Google akan menghadapi respons negatif terhadap insiden ini. Sejumlah kecil korban dan relatif tidak pentingnya Google+ memungkinkan kami untuk mengatakan bahwa itu tidak mungkin. Tetapi bahkan jika kerentanan ini tidak kritis, masalah seperti itu menimbulkan ancaman nyata bagi pengguna dan perusahaan yang mereka percayai. Kebingungan tentang bagaimana menyebutnya - kesalahan, kebocoran, kerentanan - ditumpangkan pada kenyataan bahwa bahkan lebih tidak jelas apa yang sebenarnya harus dilakukan perusahaan untuk penggunanya, ketika kerentanan privasi signifikan, dan seberapa banyak kendali yang kami miliki atas data kami. Pertanyaan-pertanyaan ini sangat penting di era teknologi kita, dan jika beberapa hari terakhir telah mengajarkan kita sesuatu, industri masih berusaha mencari jawaban untuk pertanyaan-pertanyaan ini.