Google+隱私漏洞 明年關閉
周一(8),Google在官方部落格寫到,Google在今年 3月發現Google+出現隱私漏洞,至少有 50萬名Google+用戶的個人資料暴露在上百名外部開發者手中。
Google也在同一篇部落格文章中宣布,他們將在明年 8月關閉個人版Google+功能,但企業版Google+則不受影響。
50萬用戶受波及
從 2015年起, Google+的隱私漏洞能讓第三方(外部)開發者從 438個外部應用程式,在未經Google+用戶的授權下取得該用戶的全名、個人照片、電子郵件地址、出生日期(年齡)、性別、職業、居住地和感情狀態,但不含電話號碼、訊息內容、Google+貼文和Google帳號上的其他資訊, 總計有 49萬6,951名用戶受到影響。
沒有隱私外流證據
Google表示, 他們在發現Google+隱私漏洞當下,已經修補好隱私漏洞,他們也沒有找到任何證據能夠指出在這段期間是否有任何Google+用戶的個人資料遭到濫用。
90%用戶用不到5秒
這次Google公開Google+隱私漏洞的部落格文章當中,Google也提到了Google+的使用狀況:有 90%的個人版Google+用戶使用Google+的時間不到 5秒。
所以當Google工程師發現Google+的隱私漏洞時認為,Google+使用率低到不值得繼續維護Google+,而讓Google決定要在明年 8月取消Google+個人版服務。
Facebook醜聞案 時機敏感
《華爾街日報》指出,Google早在今年 3月就發現Google+隱私漏洞,卻一直等到現在,才以未具名的消息來源和公開Google內部備忘錄的形式公開這起事件,是擔心Google+被拿來和Facebook做比較。
今年 3月正好是Facebook爆出「劍橋分析」(Cambridge Analytica)醜聞案的時間點,有高達 8,700萬名Facebook用戶的隱私在沒有獲得授權下遭到濫用,而取得這些Facebook用戶資料的「劍橋分析」公司便能以此操弄政治輿論。
避開審查 擔心轉移焦點
《華爾街日報》認為,Google刻意不在當時公開隱私漏洞,某部分原因是為了要避開監管審查而損害到自己的聲譽。
曾一份Google內部的備忘錄寫到,如果Google在當下將這件事情公諸於世,很有讓焦點從深陷「劍橋分析」醜聞案的Facebook轉移到Google身上。
沒有資料外流 不用對外公開
Google的隱私和數據保護辦公室(Privacy & Data Protection Office)認為,並沒有任何Google+用戶因為這個隱私漏洞導致資料外流,因此Google按照當時的法律,並不需要對外公開這起事件。
不適用新法
以現在來說,今年 5月歐盟正式實施新制的《一般資料保護規則》(General Data Protection Regulation, GDPR),該法要求企業若出現個資外洩的疑慮,要在 72小時內通報監管機關。
但Google+的隱私外洩風險是發生在今年 3月以前,並不適用這條法律。
雖不意外 令人擔憂
聖地牙哥州立大學資訊系統管理教授安德列斯(Steven Andrés)認為,現行法律上並沒有要求Google需要對外公開隱私漏洞,但看到Google內部正在討論該如何向監管機關報告這起事件,雖然這不意外,還是令人感到擔憂。
目標成為Facebook對手
回顧Google+的歷史,Google在 2011年推出Google+,當時Google希望能結合旗下搜尋引擎、YouTube等服務,立志成為Facebook的競爭對手。
當時Google+主打能用「社交圈」輕鬆分類Google+上的朋友,還有Google+專屬的紅色「+1」按鈕。
強制要求 事後又取消
在這段時間裡,Google曾多次推出強制性政策而引發爭議。例如在 2011年Google+推行之初,Google要求所有用戶只能用真實姓名註冊,而不能使用假名或暱稱,但這項「真實姓名」政策在 3年後廢除。
Google也曾一度規定,想在YouTube或Google Play上留下評論,一定要使用Google+帳號,但這項政策也分別在 2015年和 2016年取消。