Újabb szivárgás a Google-nél, most a gyakran maguk által előidézett adatvédelmi incidensekre derült fény
2024. június 4. – 17:04
Kétségtelenül nincsenek túl jó napjai mostanában a Google-nek. A cégnek először azzal kellett szembenéznie, hogy a keresőmotorjukba épített mesterséges intelligencia, az AI Overviews elkezdett hülyeségeket beszélni, nem sokkal később pedig már azért fájhatott a fejük, mert több ezer oldalnyi, a keresőmotorjuk működésébe betekintést engedő belsős dokumentáció szivárgott ki tőlük. A balszerencse áradásának pedig még nincs vége, a 404 Media ugyanis
hétfőn egy újabb, nyilvánosságra került belsős adatbázisról számolt be, amely hat év potenciális adatvédelmi és biztonsági incidenseit tartalmazza, és betekintést enged abba, hogy napjaink egyik legbefolyásosabb cége hogyan kezeli ezeket.
Az adatbázist egy anonim informátor küldte el a lapnak, a benne lévő adatokat pedig a Google is megerősítette. A cég a 404 Mediának azt nyilatkozta, minden alkalmazottjuknak lehetősége van arra, hogy megjelöljön potenciális problémákat a termékeikkel, amelyek alapján aztán a vonatkozó csapatok megoldhatják ezeket. A most nyilvánosságra került adatbázisban ilyen jelzések vannak 2018 előttről, és állításuk szerint ezeket mind meg is oldották akkor.
Ezt a lap sem vitatta, mint írták, a Google-nél dolgozók a belsős hálózaton jelezhetnek mindenféle problémákat. Itt tényleg semmi sem tabu, a cég termékeivel, adatgyűjtési gyakorlatával kapcsolatos dolgokról, az alkalmazottak hibáiról és az általuk használt külsős szolgáltatásokról is lehet jelenteni, a személyes információt tartalmazó emailektől a komoly adatszivárgásokig. Az alkalmazottak azt is megadhatják, hogy mennyire tartják súlyosnak a dolgot. Az adatbázis 2013 és 2018 közötti adatokat tartalmaz, összesen több ezer jelentés szerepel benne.
A 404 Media szerint az egyes incidensek nagy része kevés embert érintett, és/vagy hamar megoldották őket, de mivel eddig nem publikált adatokról van szó, így is érdekes látni, hogy a Google hogyan zsonglőrködik azzal a hihetetlen mennyiségű, gyakran érzékeny személyes adattal, amelyet kezelnie kell. És persze vannak azért olyan érdekességek is az adatbázisban, amelyek önmagukban is említésre méltóak, és rávilágítanak, hogy egy apró hibának is óriási jelentősége lehet a cégnél.
2016-ban például előkerült egy olyan hiba, amely miatt a Google Street View alapvetően az utcákon megjelenő szövegek legépelésére használt rendszerei rendszámtáblák tartalmát is rögzítették és tárolták, így a cégnek akaratán kívül erről is lett egy adatbázisa, geolokációs adatokkal kiegészítve. Az nem derült ki, hogy ez hogy történhetett meg, annak ellenére, hogy a rendszámtáblákat kivételként kezeli a rendszer, de az adatokat a dokumentumok alapján törölték.
Egy másik esetben a Google által 2018-ban felvásárolt, Socratic nevű tanulós alkalmazás több mint egymillió felhasználójának lehetett nyilvánosan megnézni az emailcímét a Socratic.org forráskódjában, és a tartózkodási helyük, valamint az IP-címük is veszélyben lehetett. Ezt a problémát a felvásárlás 2019-es véglegesítésével elhárították, azonban az adatok így is több mint egy évig nyilvánosan elérhetőek voltak. Az is előfordult, hogy véletlenül nagyjából ezer gyerek beszédét rögzítették egy órán át, egy alkalommal pedig
egy ügyfelüket véletlenül átsoroltak a hagyományos felhőalapú szolgáltatásukba az érzékeny adatokat kezelő kormányzati szerveknek kínált változat helyett, így már nem tudták garantálni, hogy az adatok nem hagyták el az Egyesült Államokat.
Ezen túl a teljesség igénye nélkül szó van arról, hogy a Waze telekocsi-funkciója kiszivárogtatta a felhasználók utazásait és lakcímét, a YouTube a törölt megtekintési előzmények alapján is tett ajánlásokat – pedig ezt kifejezetten tiltja a szabályzata –, egy ideig pedig a privátra vagy nem listázottra állított YouTube-videók is megjelenhettek nyilvánosan. A 404 Media harminc konkrét esetre kérdezett rá, a Google pedig mindegyikre azt válaszolta, hogy ezeket akkor meg is oldották, az azonban így is látszik, hogy rendszeresen történnek akár emberek millióit is érintő adatvédelmi incidensek a cégnél.