Google的“闭目塞听”和“顽固不宁”,让喜爱它的忠实用户失望了

自facebook陷入数据泄露丑闻后,各巨头们一直“谨守本分”。google作为科技巨头之一,向来是开发者心目中的表率,虽然前一阵子的军事ai项目、审查版引擎等事惹来了不少争议,但就技术层面而言,它仍是开发者眼中的“圣地”。但这次,google却因一起“知而不报”的泄露事件引起了不满。
近日,外媒披露了一件由google+ api漏洞引发的数据泄露,它会导致外部开发人员可以轻易访问私人数据,并且造成了 50 万个账户个人资料数据遭到泄露,涉及 438 个应用程序。但是google方面却在辩称,在无法确认具体受害范围和人群的前提下他们有权持保留意见。
究竟孰是孰非?来自技术社区的一众开发者各说纷纭。
一、496,951名用户、438个应用程序被卷入“泄露”风波
据外媒华尔街日报报道,根据知情人士的透露和文档所了解到的情况,今年春天,google暴露了google+社交网络上几十万用户的私人数据,并在事发后选择对外隐瞒这个问题,其中部分原因是由于担心对外公开会引起监管审查并导致声誉受损。
作为对此次事件的回应,其母公司alphabet于本周一公布了一系列数据隐私措施,其中包括永久关闭google+的所有消费者功能。这一举措彻底将google+打入了冷宫。该产品于2011年推出,虽然目的是为了与facebook竞争,但众所周知google+也是google最大的失败之一。
根据对有关此事件的文件和人员的了解,该社交网站中发生的软件故障导致外部人员能够在2015年至2018年3月期间,能够访问google+的个人资料数据,内部调查人员于今年3月发现并修复了该问题。华尔街日报阅读了一份由google法律和政策工作人员编写,并经过高级主管审批的备忘录,上面警告说对外公开此次事件可能会立即吸引“法务人员的关注”,其恶劣性堪比facebook将用户信息泄露给数据公司cambridge analytica。
该知情人士说,内部委员会在达成决定后向首席执行官sundar pichai简单介绍了不通知用户的计划。该人士还称,关闭google+是google更广泛的审查隐私策略的一部分,该审查已确立google需要对对几种主要产品实施更严格的控制。根据周一的公告,google表示他们将削减外部开发人员对android智能手机和gmail用户数据的访问权限。
二、google+的bug如何让外部开发者获取到用户数据?
根据知情人士透露的信息和文档所了解到的情况,华尔街日报表示,此次有关google+的事件(此前从未报道过)表明,为了避免公众审查他们处理用户信息的方法,google做出了许多共同努力,特别是在监管机构和消费者隐私团体指控科技巨头对他们掌握着数十亿人的个人数据的权利负责的时候。
尽管google向公众保证过他们不像facebook那样容易受到数据丑闻的影响,但是此次事件也会让google在隐私问题上得到一点教训。此次事件还可能导致google无法摆脱华盛顿的不利监管。
google的发言人在一份声明中表示:“当有用户数据受到影响时,我们所做的已经超出了法律的要求,在确定是否需要通知用户的时候,也会依据几项以用户为重心标准作出判断。”
在确定是否公开此次事件时,google考虑的标准包括:“我们是否能够准确地识别需要通知的用户,是否有任何滥用的证据,开发商或用户是否可以采取相应的行动。”这位发言人说,“这次事件没有达到上述任何一条标准。”
法律和政策工作人员的内部备忘录表示,google没有证据表明任何外部开发人员滥用数据,但他们也承认无法确认万无一失。被公开的个人资料数据包括姓名、电子邮件地址、出生日期、性别、个人资料照片、居住地、职业和婚姻状况等;其中一人说,被公开的资料中不包括电话号码、电子邮件、发帖时间、短消息或任何其他类型的通信数据。
google通过130多种不同的公共渠道向外部开发人员提供用户数据,这些渠道又称为应用程序编程接口或api。这些工具通常需要用户的许可才能访问信息,但是如果有恶意使用者冒充应用程序开发者,那么他们也可以获取个人敏感数据的访问权限。
最近几月,google内部组建了一个代号为project strobe的隐私专责小组,对全公司的api进行审查,该小组由100多名工程师、产品经理和律师组成。
google在周一的一篇博文中表示,他们准备减少能够通过api为外部开发者提供的数据。google将禁止大多数外部开发人员访问android手机上的sms消息数据、呼叫日志数据和一些形式的联系人数据,而gmail只允许少数开发人员继续为电子邮件服务构建附加组件。
今年早些时候,华尔街日报的研究发现,开发商经常通过免费电子邮件应用程序来吸引用户上钩,让用户在没有得到关于收集数据的明确说明下开放收件箱的访问权。在某些情况下,这些公司的员工还会阅读用户的真实邮件,借此来改进他们的软件算法。在这些压力下,google不得不限制了开发者对gmail的访问权。
google即将做出的改变表明了他们对数据隐私的反思,过去对于外部应用如何访问用户数据的限制相对较少,只要用户允许google就会提供数据。限制对api的访问会伤害一些帮助google构建大量实用的应用程序的开发人员。
在strobe的审核中,他们发现的google+的数据问题是google创建的一个api漏洞引起的,该api旨在帮助应用开发者访问有关注册使用应用的用户的个人资料和联系信息,以及他们在google+上的联系人。当用户授予某个开发人员权限时,该开发人员可以收集他们在google+个人资料中输入的所有数据。
今年3月的时候,google发现google+还允许开发人员检索一些用户从未打算公开分享的数据。由于该api中的bug,开发人员可以收集用户朋友的个人资料数据,即使这些数据在google的隐私设置中明确标记为非公开。在3月下旬的两周时间内,google进行了测试,并确定了该bug的影响范围。
最后发现,有496,951名用户与朋友共享的私人资料数据可能遭到了外部开发人员的访问。其中一些用户的数据遭遇的滥用包括g suite用户的支付,包括google docs和drive在内的一套提高效率的工具。g suite的客户包括企业,学校和政府。
据知情人士称,google认为超过438个应用程序可以访问未经授权的google+数据。strobe调查人员测试了一些应用程序,并检查了是否有开发人员在这之前遭到过投诉,但尚未发现任何可疑的开发人员。该备忘录称,google很难确定这些数据都被用在了什么地方,因为他们没有针对开发人员的“审计权”。也因此,google没有联系或访问任何开发商。
三、google的知情不报是否“情有可原”?
该bug出现自2015年,由于google只保留了一组有限的活动日志,因此无法确定哪些用户受到了影响,也无法确定哪类的数据可能被错误收集了。因此目前,尚不清楚是否有大量用户在此期间受到了影响。
据知情人士说,是否通知用户的问题关系到google的隐私和数据保护办公室,该办公室由监督与隐私相关的关键决策的高级产品主管组成。
而内部律师表示,法律并未要求google向公众披露此次事件。由于google不知道开发商可能拥有哪些数据,而且他们也不相信通知用户会给最终用户带来任何实质性的好处。
虽然法律和政策工作人员的备忘录不是决定性的因素,但反映了公司内部对处理此事的不同意见。该备忘录显示,google的官员认为公开真相可能会产生严重后果。揭露这一事件可能会“导致我们重蹈facebook的覆辙,甚至代替facebook成为焦点,尽管facebook在整个剑桥cambridge analytica丑闻中一直备受关注。”
一系列因素决定了一家公司是否必须通知用户潜在的数据泄露事件。shook,hardy&bacon llp的律师al saikali表示,美国没有联邦违规通知法,因此各个公司必须根据各个州法律的不同标准拼凑而成。
saikali说,虽然许多公司不会通知用户是否有人访问他们的名称和出生日期,但有些公司会这样做。即使在不清楚访问数据是否有问题的时候,有些公司也会通知用户。 “我工作的案例中有百分之五十是主观判决。只有大约一半的时间你会得到确凿的证据,证明这个坏人确实获取了信息。”
欧洲的“通用数据保护条例”于今年5月生效,要求公司在72小时内将数据泄露状况通知监管机构,否则将面临最高达全球收入的2%的罚款。saikali说,通过google的api泄漏的信息符合保护条例中的个人信息,但是由于问题是3月份发现的,因此不会受到欧洲法规的保护。
saikali说,google也可能因为没有将此次事件公诸于世而面临集体诉讼。“在此次事件中,原告可以起诉google知情不报,隐瞒真相。就这一点就足以让律师们垂涎三尺。”
在与g suite应用的付费用户签订的合同中,提到了google会告知客户,“一旦有涉及用户数据的事件发生,google会迅速及时地通知用户,并及时采取合理措施将伤害降到最低。”但是,google+的个人资料数据可能不符合这一要求,即使这些数据也属于g suite客户。
四、“google已成为将死之人!”
前一阵子的剑桥分析数据泄露丑闻事件,使得facebook一直处于风口浪尖,各大科技巨头更是谨守本分、不敢出头。
然而这一次google“知而不报”的突破道德底线行为,再一次引发了众怒,引起了业界的热烈关注。“google已成为将死之人!”pfir联合创始人、nnsquad联合创始人和管理者,privacy论坛创始人lauren weinstein就在其个人博客上表达了对此事件的看法。
lauren weinstein在1992年创办了privacy论坛,这40多年来一直致力于解决互联网和其他技术的问题。从2006年起,他就开始与google公司和google员工接触,并在他们位于洛杉矶的办公室做过一次题为“互联网和帝国”的演讲。从2011年beta版开始,他就是非常活跃的google+用户了,并且在其上有大量核心的关注者。
但是google的“闭目塞听”和“顽固不宁”,让喜爱过它的忠实用户失望了。
以下是他的博客全文:
google已成为将死之人。可能还有救,但也很可能已经无法扭转局面,特别是现在内忧外患双重夹击的情况下。由于这个状况很大程度上是google自己犯下的错误,所以目前的形式非常严峻。
不幸的是,我非常怀疑google这次能否成功地通过改变“生活方式”来拯救自己。我希望我的怀疑是错误的。
在可以预见的未来,一个名为google的公司和母公司alphabet将依然存在,但从实际角度来说,我们熟知的那个google将迎来它的终结,尽管现在它依然在赚钱。
也许有人质疑这怎么可能呢?但这次关于google+安全漏洞和面向消费者google+关闭的声明,正是google多年宿疾的直接症状。
作为google粉,我在博客和访谈中花了大把时间怼那些喷子对google的曲解和无中生有,所以现在这个局面是我非常不愿意看到的。
这些年我见过太多其他大型科技公司的没落,而这些公司最初看似都是所向披靡的。
比如at&t,比如dec。它们的衰退需要很长时间,这是个过程,而不是一次性的事件。如果回顾下历史,你会发现其实这个过程中有很多事件。dec被其他公司吸收,人才也流失到了各个方向。今天的at&t依然很强大,但从许多角度来看,它只不过是过去的影子,除了像贝尔实验室等宝石依然闪耀之外,其他的都已经没有意义。
而正在撕碎google的力量虽然不太一样,但只会更扭曲、更痛苦。
在内部,google遇到了复杂且多方面的道德困境,这不仅会从内部对公司造成破坏,还会给外界留下大量把柄,让别有用心的政客进一步诋毁google。
我关注google很长时间了。大约20年前google刚刚起步的时候,我对它更多的是批评,因为早期他们对数据收集和隐私实践的态度似乎都是漫不经心的,在我看来这是不正确的。
我第一次与google的实际接触发生在2006年,那年google邀请我到洛杉矶的办公室做一次题为“互联网和帝国”的演讲(https://youtube/watch?v=pgospmv9zvc)。我相信这是他们洛杉矶办公室录制过的第一个视频演讲。
当时那里还没有讲台,我坐在桌子边完成了演讲。那天在提问环节以及后来的讨论中,我与google员工有了很多交流,这使我有一种顿悟的感觉。
google的员工可能是我在技术圈(甚至是所有圈子里)遇见的最好的人,我很荣幸能在几年前为他们提供咨询并直接与他们工作一段时间。他们非常聪明,非常关心他人,许多人都有着浓浓的书生气(可能责任在我)。我从来没遇到过我不喜欢的google员工。
但很明显,从2006年的那天开始,google的普通员工和管理层的一些人之间就出现了一层隔阂。那天我遇到他们的时候,google员工就我在演讲中讨论过的某个话题向我表达了他们倍感挫败。
从那以后的许多年里,许多与google有关的问题都得到了极大改善,google在隐私、安全和人工智能政策方面都处于世界领先地位。我并不是说google在这些方面做得很完美,他们依然会有bug,但他们团队中有非常优秀的人(许多人我都很熟悉),他们把毕生都献给了这项工作。
但是,在某些关键点方面,似乎google管理层和其他google员工之间的隔阂越来越大,甚至造成了完全割裂的断层。
google在许多领域一直都有我一直说的“盲点”。
google的客服从第一天起就有问题。当然,这么多年客服也进步了许多,但依然缺乏了很多重要的方面,特�...
关于本站