Por meses, o Google tenta repudiar a crescente indignação da comunidade técnica, mas em 8 de outubro, essa barragem finalmente entrou em colapso, enterrada sob a
notícia de um erro na rede raramente usada do Google+, como resultado do qual meio milhão de informações pessoais dos usuários poderiam se tornar públicas. O Google encontrou e fechou a vulnerabilidade em março, mais ou menos ao mesmo tempo em que a
história desagradável com o Cambridge Analytica estava ganhando força. No entanto, com o advento das notícias, as perdas aumentam. A versão do usuário do Google+ está sendo
encerrada , os legisladores de privacidade na
Alemanha e nos
EUA já
estão procurando maneiras de entrar com ações, e ex-funcionários da Comissão de Valores Mobiliários dos EUA
especulam abertamente o que o Google fez de errado.
A vulnerabilidade em si parece relativamente pequena. A essência do problema era uma API específica para desenvolvedores, com a qual era possível acessar informações não públicas. O que é importante, não há evidências de que alguém o tenha usado para acessar dados pessoais e, dada a base de usuários mortos, não se sabe quanto desses dados pessoais podem ser vistos. Teoricamente, qualquer um poderia ter acesso à API, mas apenas 432 pessoas solicitaram (repito, este é o Google+), então podemos assumir que nenhum deles sequer pensou nisso.
Um problema muito maior para o Google não foi um crime, mas uma tentativa de escondê-lo. A vulnerabilidade foi corrigida em março, mas a empresa não divulgou essas informações por mais sete meses, até que o The Wall Street Journal
chegou às mãos de uma
discussão sobre esse erro. A empresa, aparentemente, entendeu que estava bagunçada - por que mais limpar a rede social da face da terra? - mas sobre o que exatamente deu errado, e quando, tudo está muito confuso, e essa situação revela problemas mais profundos relacionados ao modo como o technomir lida com esses batentes relacionados à privacidade.
Parte da frustração vem do fato de que, do ponto de vista jurídico, o Google é limpo. Existem muitas leis sobre a necessidade de denunciar vulnerabilidades - principalmente o
GDPR , mas também existem leis diferentes no nível do país - no entanto, por seus padrões, o que aconteceu com o Google+ não pode ser, a rigor, chamado de vulnerabilidade. As leis falam de acesso não autorizado às informações do usuário, descrevendo uma idéia simples: se alguém rouba seu cartão de crédito ou telefone, você tem o direito de saber sobre isso. Mas o Google descobriu apenas que esses dados poderiam estar disponíveis para os desenvolvedores, e não que eles realmente vazassem em algum lugar. E sem sinais óbvios de roubo, a empresa não é obrigada por lei a denunciar isso. Do ponto de vista dos advogados, isso não era uma vulnerabilidade e era suficiente apenas para resolver esse problema em silêncio.
Existem argumentos contrários à divulgação de tais erros, embora, a julgar pela parte posterior, eles não sejam tão convincentes. Todos os sistemas têm vulnerabilidades, portanto, a única boa estratégia do ponto de vista da segurança é procurá-los e corrigi-los constantemente. Como resultado, o software mais seguro será aquele em que o maior número de erros foi descoberto e corrigido, mesmo que pareça contraditório para um observador externo. Será errado forçar as empresas a relatar todos os erros - acontece que os produtos que mais se preocupam com os usuários serão mais punidos.
É claro que, por muitos anos, o próprio Google se envolveu em uma exposição repentina dos erros de outras empresas no âmbito do projeto Project Zero - em particular, portanto, os críticos estão tão ansiosos para atacar a óbvia hipocrisia da empresa. No entanto, a equipe do Project Zero informará que relatar terceiros é um calibre completamente diferente, e essa divulgação geralmente deve encorajar correções de bugs e criar uma reputação para hackers nobres que procuram bugs.
Essa lógica é mais adequada para erros de software do que para redes sociais e questões de dados pessoais, mas no mundo da segurança cibernética é bastante comum e não seria exagero dizer que influenciou a linha de pensamento do Google quando eles decidiram substituir essa história por baixo do tapete.
Mas após a desagradável queda do Facebook, parece que os argumentos do mundo da jurisprudência e da cibersegurança são praticamente irrelevantes. O acordo entre empresas de tecnologia e seus usuários é mais frágil do que nunca, e essas histórias a prejudicam ainda mais. O problema não é um vazamento de informações, mas um vazamento de confiança. Algo deu errado, mas ninguém no Google disse isso. E, além de reportar do WSJ, talvez nada se soubesse disso. É difícil evitar uma pergunta retórica desagradável: o que mais eles não nos dizem?
É muito cedo para avaliar se o Google enfrentará uma resposta negativa a esse incidente. Um pequeno número de vítimas e a relativa falta de importância do Google+ nos permitem dizer que é improvável. Mas mesmo que essa vulnerabilidade não seja crítica, esses problemas representam uma ameaça real para usuários e empresas em que confiam. A confusão sobre como chamá-lo - um erro, vazamento, vulnerabilidade - se sobrepõe ao fato de ficar ainda menos claro o que exatamente as empresas devem fazer por seus usuários, quando a vulnerabilidade de privacidade é significativa e quanto controle temos sobre nossos dados. Essas perguntas são críticas em nossa era tecnológica e, se os últimos dias nos ensinaram alguma coisa, é que o setor ainda está tentando encontrar respostas para essas perguntas.