50萬帳戶私隱外洩 Google拒即時對外公布

20181009
東網電視
更多新聞短片
Google+因軟件錯誤而令個人資料外洩,但Google沒有即時公布。

美國互聯網公司Google承認於今年3月,發現旗下社交網站Google+的消費者版本出現軟件錯誤,可能導致接近50萬個帳戶的個人資料外洩,時間最早可追溯至2015年。雖然Google已經修正有關錯誤,但宣布於未來10個月逐步關閉這個版本的Google+。有美媒引述知情人士指,Google擔心聲譽受損及引起監管機構注意,因此沒有即時公布事件,涉嫌隱瞞。

《華爾街日報》於周一(10月8日)率先披露Google+洩漏個人資料一事,報道指Google於早前成立一個代號「閃光燈計劃」(Project Strobe)的私隱工作組,以全面審查公司所有應用程式介面(API),而這是Google把用戶個人資料提供給外部開發商的工具,而取得有關資料前需用戶批准。不過,小組發現其中一個應用程式介面有漏洞,令用戶給予外部開發商許可時,用戶在Google+個人檔案輸入的任何資料,都可以被外部開發商收集使用。

內部備忘錄及知情人士透露,Google於今年3月發現Google+容許外部開發商,不但檢索部分用戶本身無意公開的個人資料,更可收集用戶朋友的個人檔案資料。知情人士指,可能外洩的個人資料包括用戶全名、電郵地址、出生日期、性別、個人檔案照片、居住地及感情狀況,但不包括電話號碼、電郵內容、「時間軸」貼文、職業及任何類型的通訊資料。

Google隨即展開為期兩周的測試,結果發現有496,951名曾與朋友分享個人檔案的用戶,他們的個人資料可能被外部開發商存取。由於Google只保留少量的活動日誌(activity log),因此未能判斷哪些用戶受影響,以及哪些類型的資料或遭到不正當收集。Google相信多達438個應用程式在未經授權下取得Google+資料,但指沒有外部開發商有可疑。不過,備忘錄指Google對外部開發商沒有審查權,因此在調查資料如何被用實在有限。

雖然Google事後修正該個錯誤,但整件事沒有即時對外公布。知情人士指出,Google的律師當時解釋,由於不知道哪些外部開發商取得甚麼類型的資料,因此Google在法律上毋須公布事件。內部備忘錄亦顯示,Google部分高層警告一旦披露有資料外洩,可能「即時引起監管機構的興趣」,甚至令事件成為社交網Facebook「劍橋分析」醜聞的翻版。Google的私隱及數據保護辦公室決定不向公眾及用戶公布後,曾向行政總裁披差匯報有關計劃。

Google於同日在網誌證實事件,但聲稱無證據顯示有外部開發商知悉有關錯誤、濫用應用程式介面,或有任何個人檔案資料遭誤用。被問及為何沒有即時對外公布時,Google發言人指這是基於洩漏的資料類別、缺乏誤用資料的證據,以及難以準確通知受影響用戶。

此外,Google以使用量非常低為由,逐步關閉Google+的消費者版本,以便用戶有時間從帳戶下載想取回的照片、影片或其他資料。不過,Google+並非就此消失,它將轉型為企業內部的溝通工具,Google指很多企業客戶認為在公司內部運作上,Google+非常有用。