Een recent lek heeft een aantal privacyfouten in Google-services uit het verleden aan het licht gebracht die van invloed zouden kunnen zijn geweest op de gebruikersgegevens. De betreffende incidenten hebben zich minimaal zes jaar geleden voorgedaan. Het bedrijf handelde destijds, maar maakte deze problemen blijkbaar niet voldoende bekend.
404 Media hebben een gelekte kopie van de interne database van Google verkregen. Na analyse ervan ontdekten ze “duizenden” beveiligingsincidenten die intern door werknemers van het bedrijf waren gemeld. Het belangrijkste aan deze incidenten is dat ze de privacy van gebruikers in gevaar brachten. De situatie deed zich tussen zes en negen jaar geleden voor.
Enkele privacyfouten van Google die door het lek aan het licht zijn gekomen
De bron onthulde enkele van de meest zorgwekkende incidenten. Er wordt melding gemaakt van opnames van kinderstemmen via de Gboard-microfoon. Er was ook een lek van privé-inhoud van het Nintendo-kanaal op YouTube. Op dezelfde manier vermeldt het rapport mogelijke toegang tot betalingsgegevens van werknemers via Sabre (software voor reisbureaus).
Er zijn meer specifieke details over sommige incidenten. Er is bijvoorbeeld een situatie waarbij maximaal 1 miljoen e-mailadressen die aan het Socratic.org-platform zijn gekoppeld, zichtbaar waren door de broncode van de pagina te controleren. Voor dit geval zeggen de gelekte database-aantekeningen dat “de gegevens langer dan een jaar zichtbaar waren en al geoogst hadden kunnen worden.”
Bij een incident met Street View werden voertuigregistratienummers getranscribeerd en opgeslagen. In dit geval was het probleem blijkbaar te wijten aan een fout in het tekstdetectiealgoritme. Ook rond Waze is er sprake van een situatie waarbij adres- en ritgegevens van gebruikers toegankelijk waren. Zelfs een populaire dienst als Docs komt in het rapport voor en wijst op een incident waarbij bestanden die alleen via een link toegankelijk zouden moeten zijn, openbaar werden gemaakt.
Sommige incidenten zijn gemeld met een lagere prioriteit dan nodig was
Zoals eerder vermeld, vonden al deze incidenten minstens zes jaar geleden plaats. Op dit moment zijn de beveiligingsprotocollen van Google waarschijnlijk veel strenger. Uit het lek blijkt echter dat de incidenten met privacyfouten in Google-services mogelijk gebruikersgegevens bloot hadden kunnen leggen. Het is ook een voorbeeld van hoe uw privacy zonder uw medeweten in gevaar kan worden gebracht.
Volgens de bron melden medewerkers van Google incidenten met prioriteit. Ze gebruiken een coderingssysteem waarbij ‘P0’-incidenten de hoogste prioriteit hebben, en vervolgens komt ‘P1’ erachter. De classificatie van sommige gerapporteerde incidenten kwam echter niet overeen met hun werkelijke belang.
Officiële verklaring van Google
Een Google-woordvoerder bevestigde de feiten van het rapport. De medewerker zei: “Bij Google kunnen medewerkers snel potentiële productproblemen melden ter beoordeling door de relevante teams. Wanneer een medewerker de vlag indient, stelt hij het prioriteitsniveau voor aan de beoordelaar. De door 404 verkregen rapporten zijn van meer dan zes jaar geleden en zijn voorbeelden van deze vlaggen: iedereen is destijds beoordeeld en opgelost. In sommige gevallen bleken deze medewerkersvlaggen helemaal geen problemen te zijn, of waren het problemen die medewerkers aantroffen bij diensten van derden.”
