谷歌爆出重大隐私安全漏洞,为避免审查竟一直隐瞒

据华尔街日报10月8日报道,谷歌旗下社交网络服务 Google+ 爆出安全漏洞,可能多达 50 万用户的个人信息被泄漏。然而据称,谷歌其实早在2018年三月份就发现了这个安全漏洞,只不过由于担心监管审查和声誉受损,谷歌竟然一直没有披露这个问题。

对于谷歌来说,这是一个罕见的失误。谷歌母公司 Alphabet 的股票在报告公布之后跌幅一度超过 2%。

谷歌在其官方博客中写道,何时通知用户隐私和安全漏洞,取决于所涉及的数据类型,包括是否可以准确识别通知对象,是否有滥用证据,以及是否存在用户可以采取任何响应的操作。基于这些判断,Google+的漏洞并没有立即向用户发出安全警告。

谷歌首席执行官Sundar Pichai (来源:DAVID PAUL MORRIS/BLOOMBERG NEWS)

然而,根据谷歌法律和政策工作人员编写的一份备忘录显示,领导层也担心会引发潜在的隐私丑闻。而且据称备忘录警告高级管理人员,该漏洞的消息如果披露将会像 Facebook 的剑桥 Analytica 泄密丑闻一样,导致“直接监管利益”。

对于一些大型科技公司来说,这是夏天并不平静。在过去的一年里,谷歌,Facebook,Twitter 和其他科技公司纷纷陷入干预选举、泄漏数据隐私等事件,并接受众议院和参议院各个委员会的质询;美国总统特朗普对谷歌和其它技术平台发表批评意见,但政府目前尚未提出任何形式的实际监管;谷歌在海外遇到了不小的麻烦,欧盟因谷歌通过 Android 系统阻碍市场竞争而处以创纪录的 50 亿美元罚款。

自从 2011 年谷歌首次推出社交网络平台以来,并没有获得市场的特别欢迎,2015 年被分解为单独的产品。谷歌的博客文章指出,普通用户版本目前使用率和黏性都比较低,90%的用户会话持续时间少于 5 秒。

(来源:CompareStudio)

这次谷歌爆出的安全漏洞,可能会导致多达 50 万个 Google+用户的姓名、性别、电子邮件、职业和年龄等信息被第三方开发者恶意使用,不过这些隐私数据不包含与个人通信或电话号码相关的任何信息。

谷歌称,有 438 个应用程序可能使用了可获取用户隐私信息的应用程序接口,但他们并没有发现任何开发人员滥用这些信息的证据。作为回应,谷歌表示将在未来十个月内关闭 Google+的所有用户功能,但企业版用户仍可将其作为企业内部员工沟通的平台。

据一位内部律师表示,法律并未要求谷歌向公众披露此事件。而且该公司不知道开发者们可能拥有哪些数据,也不确定通知用户会给用户带来任何可行的好处。但有相关人士表示,谷歌也可能因其不披露此事件的决定而面临集体诉讼。

截至目前,谷歌母公司 Alphabet 还没有对评论作出直接回应。

盘点:谷歌近年来的隐私争议

2004年:Gmail

Gmail扫描邮件并销售与其内容相关的广告,隐私组织认为这违反了用户信任。谷歌回应说,其他电子邮件提供商已经在使用计算机扫描电子邮件以防止垃圾邮件和黑客攻击,并且显示广告有助于抵消其免费服务的成本。2014年,谷歌停止扫描学生、企业和政府用户的收件箱,并且去年表示正在暂停所有Gmail扫描广告。

2010年:Buzz

Google Buzz的首次亮相忽略了社交网站公开显示其用户的联系人列表,导致联邦贸易委员会进行调查。Google 于2011年与FTC达成和解,并同意接受该机构20年的隐私审核。在和解时,谷歌在一篇博客文章中表示,Buzz的推出“未达到我们通常的透明度和用户控制标准。”

2010年:街景

谷歌称其街景摄像车在驾驶时通过无线网络收集私人数据。因此,Google停止在某些国家/地区收集街景图像。

2013年:眼镜

谷歌眼镜是一种具有录制视频功能的可穿戴式电脑耳机,当人们开始将它们佩戴在浴室等私人空间时,有人将其视为隐私侵犯。谷歌停止向消费者销售该设备,并为专业人士进行了重组。

2013年:棱镜

泄密事件显示,谷歌是一项名为Prism计划的一部分,该计划允许美国国家安全局收集有关互联网用户的数据。谷歌否认曾经让政府直接访问其服务器。

2018年:YouTube

隐私组织指责 YouTube违反了保护儿童隐私的联邦法律,收集了13岁以下用户的数据。该公司表示,未满13岁的用户不得使用YouTube。谷歌和美国联邦贸易委员会表示他们将评估投诉。

2018年:Android

美联社发现谷歌收集 Android用户的位置数据,即使他们的“位置历史”被关闭,结果误导了隐私组织和立法者。谷歌告诉美联社,他们对位置工具的描述很清楚。

2018年:Google+

一个软件错误让外部开发人员访问了50万Google+用户的私人资料数据,高管决定不通知公众,部分原因是担心受到监管机构的审查。谷歌官员表示,事件没有上升到警告用户的地步,并且没有发现任何数据被访问的证据。