Утечки данных, убившей Google+, возможно, не было вовсе

https://www.theverge.com/2018/10/9/17957312/google-plus-vulnerability-privacy-breach-law
  • Перевод


Месяцами компания Google пыталась откреститься от нарастающего возмущения технической общественности, но 8 октября эта дамба, наконец, рухнула, погребённая под новостями об ошибке в редко использовавшейся сети Google+, в результате которой личная информация полумиллиона пользователей могла стать достоянием общественности. В Google нашли и закрыли уязвимость ещё в марте, примерно в то же время, когда набирала обороты неприятная история с Cambridge Analytica. Однако с появлением новостей убытки нарастают. Пользовательская версия Google+ закрывается, законодатели, занимающиеся защитой частной жизни в Германии и США уже ищут возможности подавать иски, а бывшие работники Комиссии по ценным бумагам и биржам США в открытую рассуждают о том, что в Google сделали не так.

Сама по себе уязвимость кажется относительно небольшой. Суть проблемы состояла в специфическом API для разработчиков, с помощью которого можно было получить доступ к непубличной информации. Что важно, нет никаких доказательств того, что его кто-то использовал для доступа к личным данным, и, учитывая дохлую базу пользователей, неизвестно, сколько этих личных данных можно было вообще увидеть. Теоретически доступ к API мог получить любой желающий, однако запросили его всего 432 человека (повторюсь, это ж Google+), поэтому можно предположить, что никто из них до такого даже не додумался.

Гораздо большей проблемой для Google стало не преступление, а попытка его сокрытия. Уязвимость устранили в марте, но компания не разглашала эту информацию ещё семь месяцев, пока в руки The Wall Street Journal не попало обсуждение этой ошибки. Компания, судя по всему, поняла, что накосячила – зачем ещё стирать с лица земли соцсеть? – но по поводу того, что именно пошло не так, и когда, всё очень запутано, и эта ситуация вскрывает более глубокие проблемы, связанные с тем, как техномир поступает с такими косяками, связанными с приватностью.

Часть неудовольствия происходит от того факта, что с легальной точки зрения Google чиста. Существует множество законов о необходимости сообщать об уязвимостях – в основном, это GDPR, но есть ещё и разные законы уровня стран – однако, по их стандартам, то, что случилось с Google+, нельзя, строго говоря, назвать уязвимостью. Законы говорят об несанкционированном доступе к информации пользователей, описывая простую идею: если кто-то украдёт вашу кредитку или телефон, у вас есть право об этом знать. Но в Google только обнаружили, что эти данные могли быть доступны разработчикам, а не то, что данные реально куда-то утекли. А без явных следов кражи компания по закону не обязана сообщать об этом. С точки зрения юристов, это была не уязвимость, и достаточно было просто по-тихому решить эту проблему.

Есть аргументы, выступающие против раскрытия подобных ошибок, хотя, если судить задним умом, они не так уж убедительны. У всех систем есть уязвимости, поэтому единственной хорошей стратегией с точки зрения безопасности будет их постоянный поиск и исправление. В результате наиболее безопасным ПО будет то, в котором было раскрыто и пропатчено наибольшее количество ошибок, даже если для стороннего наблюдателя это будет казаться контринтуитивным. Неправильно будет заставлять компании сообщать о каждой ошибке – получится, что больше всего наказания понесут те продукты, что больше всего заботятся о пользователях.

Конечно, в самой компании Google годами занимались внезапным разоблачением ошибок других компаний в рамках проекта Project Zero – в частности, поэтому критикам так не терпится наброситься на явное лицемерие компании. Однако команда Project Zero скажет вам, что сообщать о третьих лицах – это совершенно другой коленкор, и такое раскрытие обычно должно поощрять к исправлению ошибок и повышать репутацию благородных хакеров, охотящихся за багами.

Такая логика больше подходит для ошибок в ПО, чем для соцсетей и вопросов личных данных, но в мире кибербезопасности она достаточно распространена, и не будет преувеличением сказать, что она повлияла на ход мыслей в Google, когда там решили замести эту историю под ковёр.

Но после неприятного падения Facebook кажется, что аргументы из мира юриспруденции и кибербезопасности практически не имеют отношения к делу. Договорённость между технокомпаниями и их пользователями хрупка, как никогда, а подобные истории ещё больше вредят ей. Проблема не в утечке информации, а в утечке доверия. Что-то пошло не так, но никто в Google об этом не сказал. И кроме репортажа из WSJ, возможно, ничего об этом не было бы известно. Сложно избежать неприятного риторического вопроса: а чего ещё они нам не говорят?

Пока рано судить, столкнутся ли в Google с негативом в ответ на это происшествие. Небольшое количество пострадавших и относительная неважность Google+ позволяют сказать, что вряд ли. Но даже если эта уязвимость не была критичной, такие проблемы представляют собой реальную угрозу пользователям и компаниям, которым те доверяют. Непонятки с тем, как назвать это – ошибкой, утечкой, уязвимостью – накладываются на тот факт, что ещё менее понятно, что именно компании обязаны сделать для своих пользователей, когда уязвимость в приватности оказывается значимой, и сколько у нас контроля над своими данными. Эти вопросы оказываются критически важными в нашу технологическую эпоху, и если последние несколько дней и научили нас чему-либо, так это тому, что на эти вопросы индустрия до сих пор пытается найти ответы.
Поделиться публикацией
Комментарии 14
    +3
    Брешь, убившая Google+, оказалась вовсе не брешью

    По-моему, название переведено слишком буквально. Заглянем в оригинал:
    The breach that killed Google+ wasn’t a breach at all

    Речь идет не о наличии уязвимости (или, если хотите, бреши в системе безопасности, которая действительно имела место), а об утечке данных (data breach), которой, возможно, не было. Именно об этом говорится в следующем фрагменте статьи.

    Фрагмент статьи
    Сама по себе уязвимость кажется относительно небольшой. Суть проблемы состояла в специфическом API для разработчиков, с помощью которого можно было получить доступ к непубличной информации. Что важно, нет никаких доказательств того, что его кто-то использовал для доступа к личным данным, и, учитывая дохлую базу пользователей, неизвестно, сколько этих личных данных можно было вообще увидеть. Теоретически доступ к API мог получить любой желающий, однако запросили его всего 432 человека (повторюсь, это ж Google+), поэтому можно предположить, что никто из них до такого даже не додумался.

    P.S. Пока могу предложить такой перевод названия:
    Утечка данных, из-за которой закрыли Google+, не нашла фактического подтверждения

    Возможно, позднее предложу другой вариант названия (я еще не дочитал статью).
      +15
      Ваш вариант не такой кликбейтный.
        0
        Зато мой вариант не искажает смысл. :)

        P.S. Нашел подтверждение своего предположения в оригинале статьи (см. фрагмент статьи ниже).

        Фрагмент статьи (на английском)
        Part of the disconnect comes from the fact that, legally, Google is in the clear. There are lots of laws about reporting breaches — primarily the GDPR but also a string of state-level bills — but by that standard, what happened to Google+ wasn’t technically a breach. Those laws are concerned with unauthorized access to user information, codifying the basic idea that if someone steals your credit card or phone number, you have a right to know about it. But Google just found that data was available to developers, not that any data was actually taken. With no clear data stolen, Google had no legal reporting requirements. As far as the lawyers were concerned, it wasn’t a breach, and quietly fixing the problem was good enough.

        Подчеркивание везде мое.

        Речь идет именно о том, что утечки данных, возможно, не было.

        К сожалению, в переводе искажен смысл:
        Часть неудовольствия происходит от того факта, что с легальной точки зрения Google чиста. Существует множество законов о необходимости сообщать об уязвимостях – в основном, это GDPR, но есть ещё и разные законы уровня стран – однако, по их стандартам, то, что случилось с Google+, нельзя, строго говоря, назвать уязвимостью. Законы говорят об несанкционированном доступе к информации пользователей, описывая простую идею: если кто-то украдёт вашу кредитку или телефон, у вас есть право об этом знать. Но в Google только обнаружили, что эти данные могли быть доступны разработчикам, а не то, что данные реально куда-то утекли. А без явных следов кражи компания по закону не обязана сообщать об этом. С точки зрения юристов, это была не уязвимость, и достаточно было просто по-тихому решить эту проблему.

        В подчеркнутых мною местах в оригинале речь идет не об уязвимостях, а об утечке данных. Надеюсь, никто не будет спорить с тем, что это далеко не одно и то же.
          +1
          «Утечка данных, убившая Google+, не была утечкой данных» — может так. И вполне себе кликбейтно и смысл не искажется.
            +7
            Если интересует кликбейтность, то можно еще так:
            Google+ закрыли из-за утечки данных: а был ли мальчик?

            :)
              +1
              Да, заголовок:
              Закрыли Google?
              Смотрелся бы еще более кликбейтно. Но потом как всегда: не гугл, а гугл+ и не закрыли, а…

              Пока что такие заголовки всех устраивают, но возможно придет время когда это станет моветоном.
              0
              Почти дословно будет так: «Убившей Google+ уязвимости не было как таковой». Идеально описывается фрагментом выше.
          +3
          Честно говоря, по мне так тут раздувают из мухи слона. Что теперь, надо трубить о каждом закрытом баге чтоли теперь, даже минорном? А то не дай бог она может оказаться «потенциальной уязвимостью»!
            0
            Ну если он попал в прод и мог привести к утечке данных пользователей — то да.
            Хотя почему он при этом стал минорным — вопрос)
              0
              По после неприятного падения Facebook кажутся, что аргументы...
              Чот вся «новость» написана левой пяткой…
                –1
                А как так можно API спроектировать? Это же Google, там же лучшие в мире программисты работают?
                  0
                  Если вы внимательнее посмотрите на описание — то это не случайная дыра, а специальные ворота.
                  Так что, проектировали АПИ там, может, самые лучшие программисты, а вот ТЗ выдавали, как обычно — маркетологи.

                Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                Самое читаемое