Google+ Shuts Down Over Breach bilang Google Offers New Privacy Features


Inanunsyo ng Google Lunes na sinasara nito ang social network ng Google+ nito, kasunod ng mga paghahayag sa isang Wall Street Journal ulat na hindi ibinunyag ng kumpanya ang isang kamakailang natuklasan na bug na nakalantad na data mula sa hanggang sa 500,000 mga user ng gumagamit ng Google+ mula pa noong 2015. Sa parehong hininga, ipinakilala ng kumpanya ang mga bagong tool upang bigyan ang mga user ng mas maraming kontrol sa data na ibinabahagi nila sa mga app at serbisyo na kumonekta sa mga produkto ng Google.

Ang disonance ay nagbabantaw sa mas malawak na data na behemoths tulad ng Google at Facebook kamakailan lamang ay may grappling sa kung paano i-reconcile ang kanilang mga nakikipagkumpitensya na prayoridad sa pagbabantay sa tiwala ng gumagamit at paggawa ng malusog na kita.

"Ang pagtatago ng mga exposures sa data ay nakakapinsala sa mga gumagamit-ang sinusubukang panatilihin ang pusa sa bag ay hindi isang napapanatiling diskarte," sabi ni Lukasz Olejnik, isang tagapangasiwa ng seguridad at privacy at miyembro ng W3C Technical Architecture Group. Sa kasong ito, sinadya ng Google na tahimik na ito para sa mga buwan, nang walang maliwanag na mga plano upang ipaalam sa sinuman ang makakaalam.

Google Minus

Ang kahinaan sa Google+, na natuklasan at remediated ng kumpanya noong Marso, partikular na nauugnay sa isa sa mga interface ng programming ng serbisyo para sa mga developer ng third-party upang i-access ang data ng profile ng gumagamit. Sinasabi ng Google na ang bug ay nakalantad na data tulad ng mga pangalan ng user, mga email address, occupation, gender at edad, ngunit ang kumpanya ay walang katibayan na sinuman pinagsamantalahan nito upang magnakaw ng data ng gumagamit, o maling paggamit ng data sa alinman sa 438 mga application na maaaring ginamit ang API habang ang bug ay live. Ang kumpanya ay natagpuan at sinisiyasat ang lamat sa loob, sa halip na mula sa isang panlabas na tagapagpananaliksik, at nagpasiya na huwag ibunyag ito hanggang sa Wall Street Journal epektibong nag-uulat sa kanila.

"Sa tuwing maaaring maapektuhan ang data ng gumagamit, lumalawak kami sa aming mga legal na pangangailangan at nag-aplay ng ilang pamantayan na nakatutok sa aming mga gumagamit sa pagtukoy kung magbigay ng paunawa," Sinabi ni Ben Smith, ang vice president ng engineering ng Google noong Lunes. "Sinusuri ng aming Opisina ng Pagprotekta sa Privacy at Data ang isyu na ito, tinitingnan ang uri ng data na kasangkot, kung maaari naming tumpak na makilala ang mga gumagamit upang ipaalam, kung mayroong anumang katibayan ng maling paggamit, at kung mayroong anumang mga pagkilos na maaaring gawin ng developer o user tugon. Wala sa mga limit na ito ang natutugunan sa pagkakataong ito. "

"Nagpapasa kami sa punto kung saan dapat makapagpasya ang Google kung nagawa na ang Google upang matugunan ang isang problema."

Marc Rotenberg, EPIC

Sinasabi ng kumpanya na ang pagtuklas ng Google+ ay nagpo-focus sa pagpapalawak ng mga proteksyon sa privacy ng gumagamit, bagaman. Ang inisyatibong iyon, na tinatawag na Project Strobe, ay nagbibigay sa mga gumagamit ng higit na kontrol sa kanilang data ng account, at kung aling impormasyon ang ibinabahagi sa mga third-party na apps. Ito ay partikular na nagpapalawak ng higit pang mga proteksyon at kontrol sa mga app na nakikipag-ugnayan sa Gmail at Android apps. Lalo na, limitahan ng Google ang antas kung saan ma-access ng mga mobile na apps ang isang tawag sa Log ng Gumagamit ng Android at mga pahintulot ng SMS. Ang kumpanya ay nagtatapos din sa kakayahan ng mga developer na hilahin ang "pakikipag-ugnayan sa pakikipag-ugnay" ng data mula sa Android Contacts API, na nagbigay sa kanila ng access hindi lamang sa iyong tinawag, ngunit kung gaano katagal.

Lalo pang inihayag ng Google noong Lunes na ang lahat ng mga application ng third-party-kabilang ang mga mobile na apps-na ma-access ang mga sensitibong Gmail API ay kailangang magsumite sa isang masusing pagsusuri bilang bahagi ng pinalawak na mga proteksyon. "Upang panatilihing ligtas ang data ng user, kinakailangan namin ang mga app na ipakita ang isang minimum na antas ng kakayahan sa paghawak ng data nang secure at pagtanggal ng data ng user sa kahilingan ng user." Gagamitin ng Google ang isang independyenteng kompanya ng pag-awdit upang makumpleto ang mga review, at sisingilin ang mga developer ng $ 15,000 hanggang $ 75,000 o higit pa upang magawa ito.

Tila nagtrabaho ang Google sa mga proteksiyon na hakbang na ito sa loob ng maraming buwan, nang hiwalay sa kahinaan ng Google+, ngunit ang balita tungkol sa pagkakalantad ng hindi nalantad na data ay nagpinta ng kumplikadong larawan sa Lunes ng pangako ng Google sa transparency.

"Sa palagay ko ang mga bagong pahayag ay maaaring maging positibong hakbang," sabi ni Marc Rotenberg, presidente ng Electronic Privacy Information Centre. "Ngunit sa palagay ko napasa namin ang punto kung saan dapat makapagpasya ang Google kung nagawa na ng Google ang sapat upang matugunan ang isang problema. Ang isang kumpanya na nagpapasiya nang sarili nito kung iniisip o hindi na dapat itong ipaalam ay hindi kailanman ang tamang sagot, dahil walang insentibo upang kunin ang kritika at ang hit ng stock. "

Ang Regulasyon Equation

Maraming mga analyst ang sumang-ayon sa panloob na pagtatasa ng Google na ang kumpanya ay hindi legal na obligadong ibunyag ang pangyayari. Ngunit itinuturo ni Rotenberg na matapos ang isang serye ng mga insidente sa paglipas ng mga taon-kabilang ang isang nauugnay sa Google Bogzin-ang Federal Trade Commission ay maaaring tumagal ng insidente sa konteksto ng mas malaking track record ng kumpanya. "Ang layunin ng abiso ng paglabag sa datos ay upang alertuhan ang mga gumagamit tungkol sa posibilidad ng isang panganib, ngunit din posible para sa mga pampublikong opisyal upang subaybayan ang mga kasanayan ng mga kumpanya na maaaring mas mababa o madaling kapitan ng pinsala sa breaches," sabi ni Rotenberg. "Ang pagtatatag ng independyenteng pananagutan ay napakahalaga."

"Ang pagtatago ng mga exposure sa data ay nakakapinsala sa mga gumagamit-sinusubukan na panatilihin ang pusa sa bag ay hindi isang napapanatiling diskarte."

Lukasz Olejnik, W3C Technical Architecture Group

Ang episode din ay nagdudulot ng na-renew na pangangailangan ng madaliang pagkilos sa mga pag-uusap tungkol sa mga kinokontrol na kumpanya upang ibunyag hindi lamang ang mga paglabag sa data, ngunit nakalantad din ang data. Na maaaring magkaroon ng hindi inaasahang resulta ng mga nakapanghihina ng loob na kumpanya mula sa paggawa ng agresibong panloob na pagsusuri ng sistema at pag-aaral ng kahinaan upang mahuli ang mga exposures proactively, bagaman. Dahil sa mataas na profile ng insidente ng Google+, maaaring ito ay isang test-case kung paano maaaring magawa ng Google at iba pang mga kumpanya sa mga katulad na sitwasyon sa hinaharap.

"Tiyak na ang Google ay nagtimbang ng posibleng mga panganib at benepisyo sa legal na pananagutan, mga layunin sa patakaran, reputasyon, tiwala ng gumagamit. At sa palagay ko ang kanilang mga tauhan ay nanonood nang malapit upang makita kung paano ang pangyayari na ito ay gumaganap para sa press, pampubliko, at mga tagabigay ng polisiya," sabi ni Tiffany Li, isang residente sa Yale Law School's Information Society Project at dating in-house counsel para sa coding education startup General Assembly. "Iyon ay makakaimpluwensya kung paano sila magpasiya na kumilos sa susunod na mangyari ito, na kung saan ito, dahil walang sistema ay kailanman 100 porsiyento secure."

Para sa mga gumagamit, ang balita na pinanghawakan ng impormasyon tungkol sa isang privacy laps ay malamang na lumawak sa mga pagsisikap ng kumpanya na lumitaw nang maagap tungkol sa proteksyon ng data. At binibigyang-diin nito ang mga tensyon na nag-navigate sa Google araw-araw. "Ang pagkapribado ay dapat isaalang-alang ang isang problema ng patakaran sa teknolohiya at teknolohiya, sa halip na isang nakahiwalay na palaisipan na legal," sabi ni Olejnik. "Ang lahat ng ito ay ngayon kaakibat."


Higit pang mga Great WIRED Stories