继 Facebook 后,社群网站 Google+ 也卷入个资外泄风暴,数十万用户资料曝光,Google 因此宣布个人版 Google+ 将走入历史。华尔街日报报导,Google 半年前发现问题却不公开。
根据 Google 工程部副总裁史密斯(Ben Smith)今天发表的部落格文章,Google 今年启动“闪光灯计划”(Project Strobe),稽查第三方开发商存取 Google 账户和 Android 装置资料的情况,结果发现 Google+ 应用程序界面(API)有重大漏洞。
Google 因此决定放弃个人版 Google+,给予用户 10 个月时间下载并转移资料,预定明年 8 月完全停止服务。Google+ 终止消费端功能后,未来只会开放给企业客户,供企业内部交流使用。
Google+ 于 2011 年 6 月上线,被视为 Google 挑战 Facebook 的产品,但人气始终比不上 Facebook。华尔街日报报导,Google 上述决定形同为 Google+ 棺材钉上最后一根钉子。
报导援引 Google 内部文件及知情人士指出,2015 年至 2018 年 3 月期间,一项软件问题让外部开发商有机会存取 Google+ 用户个资。Google 法律人员撰写的备忘录警告,若公布这起事件,可能“立即引起主管机关注意”,外界也会拿来和 Facebook 个资外泄事件比较,Google 声誉恐受影响。
知情人士说,Google 内部委员会今年春季决定不通知 Google+ 用户,Google 首席执行官皮蔡(Sundar Pichai)也获知相关计划。
报导指出,主管机关与隐私权倡议团体主张科技巨擘应为数十亿用户个资负起责任之际,这起事件显示,Google 极力避免让个资处理情况成为公众关注焦点。
Google 曾对外保证,不太会像 Facebook 那样卷入个资外泄丑闻,如今 Google 维护隐私的成效恐被打上问号,更可能危及 Google 避免华府加强监管的工作。
史密斯在文中写道,用户资料可能受影响时,Google 以多项衡量标准决定是否通知用户,“我们能否精确辨识应告知的用户、是否有个资遭滥用的证据、开发商或用户是否有可采取的因应措施,就这起事件而言,前述门槛都没有达到。”
内部备忘录指出,Google 未掌握外部开发商滥用个资的证据,但无法确知是否毫无滥用情事。知情人士表示,Google+ 可能外流的用户资料包括全名、电邮地址、出生日期、性别、大头照、居住地、职业和感情状态;电话号码、电邮讯息、贴文、私讯和其他通讯资料未曝光。
Google 为方便外部开发商协助扩充应用程序,透过逾 130 个 API 让外部开发商存取用户个资。开发商通常需要取得用户同意,但风险在于不肖分子可能假扮程式开发商,取得并滥用敏感个资。
Google 今天宣布,将终止外部开发商存取 Android 手机简讯、通话纪录和部分形式通讯录资料的权限,Gmail 也只会开放极少数厂商继续为这套电邮服务开发扩充功能。
华尔街日报 7 月报导,Google 让数百家外部开发商,扫描数百万注册使用购物比价、自动化旅游规划等邮件相关服务的 Gmail 用户收件匣。这些开发商训练电脑甚至人工阅览 Gmail 用户邮件,Google 却疏于管理。
(作者:尹俊杰;首图来源:Flickr/Carlos Luna CC BY 2.0)
