几个月来,谷歌试图摆脱对技术社区日益增长的愤慨,但在10月8日,这座大坝最终坍塌了,埋在很少使用的Google+网络上的
一个错误消息的掩盖下,结果有50万用户的个人信息可以公开。 Google于3月份发现并关闭了该漏洞,而与此同时,
与剑桥分析公司
(Cambridge Analytica )的
令人不快的故事也开始流行。 但是,随着新闻的来临,损失增加了。 Google+用户版本即将
关闭 ,
德国和
美国的隐私立法者已经在寻找提起诉讼的方式,而美国证券交易委员会前任官员也公开
推测了Google的过失。
该漏洞本身似乎相对较小。 问题的实质是针对开发人员的特定API,通过它可以访问非公开信息。 重要的是,没有证据表明有人使用它来访问个人数据,并且由于用户群已死,因此根本不知道可以看到多少这些个人数据。 从理论上讲,任何人都可以访问该API,但是只有432个人请求了该API(我再说一遍,这是Google+),因此我们可以假设他们都没有想到这一点。
对于Google而言,更大的问题不是犯罪,而是试图隐藏它。 该漏洞已在3月修复,但该公司在七个月后才披露此信息,直到《华尔街日报》
开始讨论此错误。 显然,该公司知道这很糟-为什么还要从地球上抹去社交网络? -但是到底是什么地方出了问题,什么时候出现的,一切都令人困惑,这种情况揭示了更深层次的问题,这些问题与technomir如何处理与隐私相关的浅滩有关。
从法律的角度来看,谷歌是干净的,这是部分挫败感。 有很多关于报告漏洞的法律-主要是
GDPR ,但在国家/地区一级也有不同的法律-但是,按照其标准,严格来说,Google +发生的事情不能称为漏洞。 法律提到未经授权访问用户信息,并描述了一个简单的想法:如果有人窃取了您的信用卡或电话,您有权知道它。 但是谷歌只发现该数据可供开发人员使用,而不是数据确实泄漏到某处。 而且,在没有明显盗窃迹象的情况下,法律没有要求公司举报此事。 从律师的角度来看,这不是一个漏洞,而足以安静地解决这个问题。
尽管有事后的判断,但有人反对公开这种错误,但并没有那么令人信服。 所有系统都具有漏洞,因此从安全角度来看,唯一好的策略是不断地搜索和修复它们。 结果,最安全的软件将是发现并修复最多错误的软件,即使对于外部观察者来说,这似乎是违反直觉的。 强迫公司报告每个错误都是错误的-事实证明,那些最关心用户的产品将受到最严厉的惩罚。
当然,多年来,Google本身一直在零项目计划的框架内突然披露其他公司的错误-特别是,因此,批评家非常渴望攻击该公司明显的虚伪行为。 但是,“零号项目”团队会告诉您,报告第三方的能力完全不同,此类披露通常应鼓励漏洞修复,并为寻找漏洞的高尚黑客树立声誉。
这种逻辑更适合软件错误,而不是社交网络和个人数据问题,但是在网络安全领域,这种逻辑很普遍,毫不夸张地说,这种逻辑影响了Google的思想思路,当他们决定在地毯下替换这个故事时。
但是,在Facebook不幸倒台之后,法学界和网络安全界的争论似乎实际上是无关紧要的。 科技公司与其用户之间的协议比以往任何时候都更加脆弱,这些故事对她的伤害更大。 问题不是信息泄漏,而是信任泄漏。 出了点问题,但是Google没人这么说。 除了《华尔街日报》的报道外,也许对此一无所知。 很难避免一个令人不快的修辞问题:他们还不告诉我们什么?
现在判断Google是否会对此事件做出负面回应还为时过早。 少数受害者和Google+相对不重要使我们可以说这不太可能。 但是,即使此漏洞不是很严重,此类问题也对他们信任的用户和公司构成了真正的威胁。 对它的称呼(错误,泄漏,漏洞)的混淆是基于这样一个事实,即当隐私漏洞很重要时,公司到底必须为用户做什么,以及我们对数据有多少控制权,这一点甚至还不清楚。 这些问题在我们的技术时代至关重要,如果最近几天对我们有任何启发,那就是该行业仍在努力寻找这些问题的答案。