Гугл не повідомляв про витік даних декілька місяців

Emily Cho

Згідно з повідомленнями в блозі Гугл, була виявлена помилка, що дозволяє сотням сторонніх додатків отримувати доступ до особистих даних користувача.

Пам'ятаєте Google+?

Я теж ні. Але в той час як ми були блаженно не інформовані про його триваючому існування, сталося щось передбачуване (і досить звичайна справа в 2018 році): дані приватних користувачів просочилися.

Ось що трапилося. Згідно з повідомленнями в блозі Google, була виявлена помилка, що дозволяє сотням сторонніх додатків отримувати доступ до особистих даних користувача. За словами Wall Street Journal, ми говоримо імена користувачів, роботодавців, назви робочих місць, стать, місце народження і статус відносин не менше півмільйона користувачів Google+.

Як зазначає Wall Street Journal, помилка існує з 2015 року. Google стверджує, що вона виявила і «відразу ж залатати» її в березні цього року - в той же місяць скандал в Cambridge Analytica в Facebook почав вибухати. У тому ж повідомленні в блозі Google оголосила, що повністю відключить Google+.

Отже, чому ми чуємо тільки про це зараз, через сім місяців? Чи не мають користувачі Google право знати, чи були їхні персональні дані уразливі для хакерів за останні три роки? Внутрішні записки, отримані Wall Street Journal, говорять про те, що Google намагається уникнути «негайного регулювання інтересу». Іншими словами: уникати штрафів і штрафів.

І Google не мала реальної причини для цього. Безсумнівно, він міг би краще стріляти в порушення прориву. Але ніякі урядові правила не змусили компанію правильно розповісти споживачам, коли це сталося. І робити це за власним бажанням, коли Facebook піддавався такому тиску? Чи не схоже на великий піар-хід.

В заяві футуризму Google вказує, що він вже робить більше, ніж потрібно. «Щороку ми відправляємо мільйони повідомлень користувачам про проблеми й проблеми конфіденційності та безпеки. Всякий раз, коли призначені для користувача дані можуть бути порушені, ми виходимо за рамки наших юридичних вимог і застосовуємо декілька критеріїв, орієнтованих на наших користувачів, при визначенні того, чи надавати повідомлення.

Заява триває: «Наш відділ конфіденційності та захисту даних розглянув цю проблему, розглянувши тип даних, які ми могли б точно визначити, щоб користувачі повідомляли, чи були які-небудь докази неправильного використання і чи були які-небудь дії розробник або користувач можуть прийняти відповідь. Жоден з цих порогів ні зустрінутий в цьому випадку.

Google стверджує, що він не виявив «ніяких доказів того, що будь-якої розробник був обізнаний про цю помилку або зловживанні API», після ретельного, «кореневого і галузевого аналізу сторонніх розробників». Ніхто не постраждав, так що ми всі круті, чи не так? Правильно?

Чи є це тільки мною або відчуває, що наші особисті дані просочуються майже щотижня? Всього два тижні тому хакери отримали 50 мільйонів облікових записів Facebook. Одна помітна різниця: проблема безпеки була виявлена всього за три дні раніше інженерної командою Facebook, згідно з офіційним повідомленням в блозі. Вгадайте, що Facebook дізнався дещо з Cambridge Analytica.

Тепер що? Ну, тепер позови. Ars Technica повідомляє, що жителі Каліфорнії і користувачі Google+ подали позов першого класу в федеральному суді в Сан-Франциско. Аргумент: Google свідомо зробив «розраховане рішення не інформувати користувачів про те, що їхня особиста інформація була скомпрометована», згідно зі скаргою, як повідомила Ars Technica.

І Google, можливо, доведеться боротися із Загальним регламентом захисту даних ЄС (ВВП). Це вимагає від компаній повідомляти постраждалих користувачів про порушення особистих даних «без невиправданої затримки і, коли це можливо, не пізніше, ніж через 72 години після того, як стало відомо про це», згідно зі статтею 33 - далеко за сім місяців знадобилося Google.

Недотримання цього правила може нашкодити Google: штрафи до двох відсотків річного глобального доходу. Раніше це було пов'язано з цими видами штрафів, зокрема, одним з 5 мільярдів доларів в травні, у відповідь на повідомлення про порушення антимонопольного законодавства на телефонах Android (компанія оскаржувала це рішення).

Але, як зазначає TechCrunch, Google, можливо, взагалі не порушив ВВП: помилка була виявлена в березні, але GDPR вступила в силу через два місяці. Оскільки закон все ще залишається новим, і країни-члени ЄС все ще з'ясовують, як забезпечити його дотримання, Google може виявитися в зоні регулювання.

Як і всі компанії, що зіткнулися з подібним порушенням, Google робить невелику интроспекцию. Google стверджує, що він затискає сторонній доступ до споживчих даними Gmail і дозволяє користувачам надавати і відкликати дозволи третім сторонам - це, безумовно, позитивний крок.

Але якщо ви все ще відчуваєте настороженість, ну, ми не звинувачуємо вас. Google знав про витік за такий штопор задовго до того, як вирішив розкрити його існування. Той факт, що він не міг знайти ніяких доказів зловживання, мало втішає.

У міру того, як такі порушення даних стають все більш частими і розкривають більше інформації, законодавці починають звертати увагу, надаючи законам про конфіденційність даних такий необхідний другий погляд. Споживачі мають право знати, чи потрапляють їхні дані в руки, які вони, можливо, не санкціонували. Якщо такі компанії, як Google, не будуть притягнуті до відповідальності, вони, можливо, навіть не дізнаються про це.