9:45
9/10/2018

Google ogłosiło dziś, że niebawem wyłączy Google+, czyli serwis, który miał być klonem Facebooka, a okazał się największą porażką w kategorii “serwis społecznościowy”. Powodem wbicia gwoździa do trumny Google Plus jest po części dziura, która przez 3 lata umożliwiała kradzież prywatnych danych użytkowników Google.

Co można było wykraść

Dziura związana była z API. Jej wykorzystanie świetnie opisuje WSJ:

Według jednej z osób zaznajomionej ze sprawą, za pomocą błędu można było uzyskać nieautoryzowany dostęp do:

  • imienia i nazwiska
  • adresu e-mail
  • daty urodzenia
  • płci
  • zdjęcia profilowego
  • miejsca zamieszkania
  • zawodu

Dostęp do numeru telefonu czy treści wiadomości e-mail oraz wpisów na “ścianie” użytkownika ponoć nie był możliwy.

Google twierdzi, że nikt z dziury nie skorzystał, ale pewności brak

Dziurę znaleziono podczas wewnętrznego audytu i Google utrzymuje, że po przejrzeniu logów, nic nie wskazuje na to, że ktoś z niej skorzystał aby wykraść dane użytkowników. Firma oszacowała, że ze względu na specyfikę błędu, mógł on objąć swoimi negatywnymi skutkami “jedynie” 500 tysięcy użytkowników.

Problem w tym, że w chwili znalezienia incydentu w marcu 2018 roku, Google miało tylko logi z 2 tygodni (i jeszcze tak krótki okres tłumaczy “ochroną prywatności”!), a fragment kodu, który umożliwiał kradzież danych wprowadzony został 3 lata wcześniej… Firmie brakuje więc danych, aby z całą stanowczością powiedzieć, że nikt nie skorzystał z dziury do kradzieży informacji.

Co więcej, Google nie ma żadnej możliwości audytu twórców 438 aplikacji, którzy korzystali z wadliwego API i mogli je wykorzystać do wyprowadzenia danych. Firma nie wie więc, czy developerzy to robili, a z informacji pozyskanych przez WSJ wynika, że nawet nie zadała im tego pytania.

Dlaczego Google zataiło informacje o dziurze?

“Ale jak to, jak to?” — powiedziecie — “odkryli w marcu a ujawniają dopiero teraz?”. No właśnie. Google z premedytacją ukryło informacje o błędzie, bo ich dział prawny i starszy stażem managerowie uznali, że poinformowanie ludzi o tej dziurze:

ściągnie na firmę natychmiastowe zainteresowanie regulatorów.

Przypomnijmy, że marzec 2018 to był okres afery Cambridge Analityca związanej z Facebookiem, kiedy to Facebook mocno tracił na wartości i odpływali od niego użytkownicy. Strach Google był więc uzasadniony. Zresztą niewykluczone jest, że wewnętrzny audyt API został sprowokowany właśnie tym skandalem bo Googlersi chcieli zweryfikować, czy przypadkiem podobnego “wyciągania danych” jak z Facebooka nie udało by się przeprowadzić przez API Google+. No i wyszło na to, że tak… I że generalnie zarządzanie uprawnieniami to nie jest łatwa sprawa. A że Z Google Plusa prawie nikt nie korzystał, to firma postanowiła projekt zaorać.

Dziury zdarzają się każdemu. I każdy, kto choć trochę działa w branży to rozumie. Ostatnio Facebokowi wykradziono tokeny dające dostęp do kont 50 milionów użytkowników. Firma, nauczona fuckupem z Cambridge Analytica, tym razem szybko o tym poinformowała, czym zyskała w oczach użytkowników.

Google nie zasługuje na potępienie za to, że w ich API była dziura. Mogła być. Znaleźli ją sami i załatali. Brawo! Ale, niestety, Google świadomie zataiło fakt istnienia tej dziury przed użytkownikami. I za to jak najbardziej należy firmę potępić.

Niewiele pomogą tu Googlowi nie do końca rzetelne tłumaczenia, że “nie znaleźliśmy śladów wykorzystania błędu do kradzieży danych“. Facebook też nie znalazł. A ujawnił. Twitter i Github — to samo.

W jednym jednak trzeba przyznać rację prawnikom Google — żadnego obowiązku zgłoszenia incydentu nie było. Rzecz działa się przed wejściem w życie GDPR/RODO. Uczciwie należy też zauważyć, że większość firm po wykryciu błędów w swojej infrastrukturze i stwierdzeniu braku wpływu na dane użytkowników, po prostu ich o takich incydentach nie informuje. Szkoda.

Co robić, jak żyć?

Jeśli uważasz, że choć masz konto Google, to błąd w Google+ Cię nie dotyczy, bo nigdy nie korzystałeś z tego serwisu albo nawet nie wiesz co to jest — to jesteś w błędzie. Firma domyślnie zakładała profile w tej niechcianej usłudze swoim użytkownikom. Na szczęście, w kontekście tego błędu, nie musisz niczego robić, więc jeśli brzydzi Cię interface Google+ to wciąż nie musisz go oglądać.

Warto jednak, aby każdy — nie tylko użytkownicy Google Plus — zdali sobie sprawę z tego, komu udostępniają swoje dane za sprawą tzw. “integracji” z zewnętrznymi aplikacjami. Dlatego zachęcamy Was do kliknięcia w poniższe linki, które ujawnią aplikacje, jakie (często nieświadomie) sparowaliście ze swoim kontem Google, kotem Facebooka lub Twitterem. I jeśli czegoś nie rozpoznajecie — usuńcie dostęp temu czemuś:

Jak już będziecie w ustawieniach swoich kont Google, Facebook i Twitter, to rzućcie okiem także na inne funkcje bezpieczeństwa. Jest ich trochę. Mogą Wam pokazać jakie inne urządzenia (nie tylko aplikacje!) są aktualnie zalogowane na Wasze konta. Możecie też powłączać dwuskładnikowe uwierzytelnianie, najlepiej za pomocą kluczy U2F i generalnie podnieść bezpieczeństwo Waszych kont. Warto. Gdybyście chcieli dostać praktyczne wytyczne co i gdzie zrobić, to zapraszamy na nasz wykład pt. “Jak nie dać się zhackować?“, który już w czwartek odbędzie się w Gdańsku, a w kolejnych tygodniach także w Katowicach, Krakowie, Warszawie i Wrocławiu. Zapraszamy!

PS. Kto by pomyślał, że Google+ miało aż 500 tysięcy użytkowników…

Przeczytaj także:

21 komentarzy

Dodaj komentarz
  1. “Google wylaczylo dzis” – dziwne u mnie dziala :P
    Google zamieza wylaczyc dla osob indiwidualnych w przeciagu 10 miesiecy

  2. Może już czas przesiąść się na innego dostawce usług i dać dużego pstryka w nos wszedobylskiemu Googlowi który popełnia coraz więcej błędów….

    • Tak, już czas. Przesiadłeś się?

  3. “nauczona fuckupem z Cambridge Analytica” – tak sie prywatnie zastanawiam czy ten angielsko jezyczny przerywnik w tekscie jest naprawde konieczny. Dlaczego by nie uzyc rownie dosadnych polskich odpowiednikow. Jestem pewny ze z ulicznego slownika mozna by wylowic przynajmniej kilka adekwatnych slow albo po prostu zastapic ‘fuckup’ wpadka.

    • Niekiedy pewne zwroty są trudne w przetłumaczeniu.”Wpadka” ma dużo bardziej delikatną wymowę – oj, coś się stało ale spoko-loko. Fuckup w przetłumaczeniu na PL powinien być raczej określany wzorem błędów w Win 3.11: GPF. Generalnie Pie****nięcie Fszystkiego ;-)

    • Fuckup nie jest przerywnikiem, ale dokładnym określeniem pewnej sytuacji, przyjętym w wielu środowiskach i nacechowane bagażem znaczeniowo-emocjonalnym. Tak samo wpadka, tyle że tego słowa najchętniej używają portale plotkarskie odnośnie do tego, co przydarzyło się jakimś celebrytom. A to strój nie taki, a to coś wyskoczyło spod stanika etc. Bagaż znaczeniowy niezbyt fajny. A co do innych słów, to również przyjęło się określać komputer mianem komputera, nie liczydła ani maszyny obliczeniowej. Są jeszcze trudniejsze pojęcia techniczne, zwłaszcza dotyczące programowania i bezpieczeństwa, które diabelnie trudno jest przetłumaczyć.

    • To może “blamaż”?

    • @M
      Ależ to przecież “niegodna” francusczyzna. A my, przecież, widelce uczyliśmy jeść, czy jakoś tak ;)

    • Polskim odpowiednikiem jest “fakap”.

    • Kiedyś byłem w sklepie muzycznym. Klient (chłopak – na oko 16 lat) prowadził orzywioną dyskusję (bardziej monolog) ze starszą panią stojącą za ladą. Chłopak był zachwycony płytą, którą mu poleciła ta pani poprzednim razem. Była to jakaś “rąbanka” w stylu “hardcore techno”. Chłopaka zachwycił utwór w którym regularnie padał zwrot “mother fucker” powycinany z różnych filmów. Nawet próbował to “zaśpiewać”. Po jego wyjściu pani powiedziała:
      – Jak tak można przy kobiecie? Myśli, że jak przeklina po angielsku to nie przeklina?

      “Fakap” przyjął się z dwóch powodów:
      – bo pewne środowiska koniecznie chciały przeklinać, ale nie wypadało z różnych przyczyn (bo szef/partner nie pozwala, bo jeszcze ktoś pomyśli, że jestem wulgarny albo, że mój blog jest niepoważny bo przeklinam w tekście, a nie pozwalam w komentarzach). Nie ma żadnej różnicy między “fuck”, a “p!3Rd0Iic”, a mimo to filtry w komentarzach są łaskawsze dla tego pierwszego.
      – pewne środowiska lubią uchodzić za “światowe”. Dlatego dziś tak popularny jest mejkap zamiast makijarzu, konsulting zamiast doradztwa, kołcz zamiast trenera (kniecznie personalny, a nie osobisty) itd. “Zj36@c” to się coś może na wsi w remizie – poważna korporacja to ma fakap.

      Pozdrawiam,
      Janusz

  4. Należy jedynie zauważyć, że RODO to nie jedyny akt prawny wymagający powiadomienia użytkowników o wycieku danych. Jednocześnie przy RODO akurat poinformowanie użytkowników nie byłoby konieczne (w tej sytuacji).

  5. Parafrazując tych wszystkich co krzyczeli jak jakaś firma hostingowa zaliczyła przerwę w działaniu swoich usług.

    Trzeba stąd uciekać!

  6. […] Więcej na niebezpiecznik.pl […]

  7. Tylko skąd informacja że Google wyłączył serwis? Brak oficjalnego potwierdzenia, wiadomości o tym od samego Google. W momencie pisania tego posta serwis działa nadal i można w nim publikować treści. Więc skąd informacja o wyłaczeniu serwisu dzisiaj?

  8. w sumie sporą częścią użytkowników g+ są (jeszcze) gracze ingressa, w końciu niantic jako startup google’a musiał gdzieś komunikować się z użytkownikami ;)

  9. A moja korporacja od miesiąca poleca tworzenie kopii zapasowych dysków komputerów przenośnych na google+. Bezpieczeństwo na calego.

  10. Jakie to szczęście, że od czasu microG można wygodnie korzystać z systemów androido-pochodnych nie łącząc (a nawet nie mając) konta google…

    • Zobacz jak to pod spodem działa to nie będziesz aż taki zadowolony :)

  11. Niby jak Google wyłączyło Google+ skoro przed chwilą zalogowałem się do Google, a tam nadal jest dostępne Google+?

    • Ma wyłączyć g+ za pół roku (wg dobrego pudelka). prawdopodobnie dziura to tylko pretekst. Wg mnie szkoda, to było lepsze od fb

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.