今年(2018)年初,濫用8700萬用戶個資,並疑似影響美國總統大選以及英國脫歐結果的劍橋分析(Cambridge Analytica)事件,許多人都還記憶猶新,無獨有偶,另一家網路巨頭Google也傳出用戶個資外洩事件。
2015~2018年期間,Google因為軟體漏洞讓第三方開發者可存取用戶特定個資,導致多達50萬 Google + 用戶暴露在風險下,今年三月內部發現問題時,卻因為擔心遭到監管審查,沒有通知全球用戶,事件宛如Facebook的翻版,Google也順勢宣布因為Google+使用率太低,個人版本將在明年8月完全停止服務。
軟體漏洞,Google+ 50萬個資暴露在風險下
個資外洩消息最早由《華爾街日報》披露,事實上,Google為了方便第三方開發者打造應用程式,開放超過130個API讓開發商可以存取用戶特定個資,通常必須取得用戶同意才能使用資料,不過也有許多心存歹念的人會假扮成開發商,用半拐半騙的方式濫用敏感個資。
Google工程部副總裁史密斯(Ben Smith)本周在官方部落格上發表一篇文章,表示今年三月內部啟動了一項自我審查的「閃光燈計畫」(Project Strobe),「過去幾年,很多人都想知道如何自己管理Google+上的個資,因此我們的首要目標,就是審慎地重新檢視與Google+相關的API。」
根據熟知內情人士指出,在2015年~2018年三月期間,因為軟體漏洞讓第三方開發商有機會存取Google+用戶包括姓名、電子郵件、生日、性別、照片、感情狀態、工作等私人資訊,受影響的潛在用戶數量高達50萬人,不過好消息是電話號碼、電子郵件內容、貼文、私訊和其他資料都不在外洩內容名單中。
擔心監管審查,Google選擇隱瞞
然而Google並沒有在第一時間就主動告知用戶,根據Google工程部副總裁史密斯(Ben Smith)在文章中的說法,今年三月就已經知道漏洞存在並修復完成,「我們沒有發現任何開發者知道這個漏洞存在,或者濫用API及資料。」
史密斯解釋,Google針對是否通知用戶有一套評估準則,「像是我們能否準確辨識用戶身分、是否有個資遭濫用的證據、開發商或用戶是否有可採取的因應措施,就這起事件而言,上述門檻都沒有達到。」不過這恐怕都不是刻意隱瞞的主要原因,當時Facebook的濫用個資事件正在全球掀起波瀾,做出不公開的決定,最主要還是擔心監管審查,Google法律人員在備忘錄中警告:「公布這件事情,可能會引起主管機關注意,」才會拖到現在公布。
個人版Google+,明年八月正式關閉
有趣的是,在《華爾街日報》新聞曝光後,Google立刻發布新聞稿,表示要推出新的隱私工具,包括禁止第三方開發者存取Android手機簡訊、通話紀錄以及Gmail數據,不過最引發討論的還是Google+將走入歷史。
2011年Google推出社群服務Google+,結合了社交圈(Circles)、多人視訊聊天(Hangouts)、話題靈感(Sparks)、Huddles等功能,挾帶龐大的用戶基礎,推出短短24天就達到2000萬使用人次,被外界視為用來迎戰Facebook的武器。
然而這款問世七年的產品將步入歷史,根據Google的說法,Google+的使用率、參與率都相當低落,有高達90%用戶持續使用時間不到五秒鐘,因此決定放棄個人版Google+,用戶將有10個月時間可以被備份轉移資料,預計在明年八月完全終止服務,未來仍會保留企業客戶版本,供企業內部交流使用,聽起來是想把企業版Google+變成一個企業通訊軟體,頗有在跟Slack叫陣的意味,最後,Google更表示要為企業打造一個「安全的社群網絡」,這番說法在隱瞞個資外洩風波曝光後,聽起來不只奇怪更顯得諷刺。
