[Перевод] Брешь, убившая Google+, оказалась вовсе не брешью
Месяцами компания Google пыталась откреститься от нарастающего возмущения технической общественности, но 8 октября эта дамба, наконец, рухнула, погребённая под новостями об ошибке в редко использовавшейся сети Google+, в результате которой личная информация полумиллиона пользователей могла стать достоянием общественности. В Google нашли и закрыли уязвимость ещё м марте, примерно в то же время, когда набирала обороты неприятная история с Cambridge Analytica. Однако с появлением новостей убытки нарастают. Пользовательская версия Google+ закрывается, законодатели, занимающиеся защитой частной жизни в Германии и США уже ищут возможности подавать иски, а бывшие работники Комиссия по ценным бумагам и биржам США в открытую рассуждают о том, что в Google сделали не так.
Сама по себе уязвимость кажется относительно небольшой. Суть проблемы состояла в специфическом API для разработчиков, с помощью которого можно было получить доступ к непубличной информации. Что важно, нет никаких доказательств того, что его кто-то использовал для доступа к личным данным, и, учитывая дохлую базу пользователей, неизвестно, сколько этих личных данных можно было вообще увидеть. Теоретически доступ к API мог получить любой желающий, однако запросили его всего 432 человека (повторюсь, это ж Google+), поэтому можно предположить, что никто из них до такого даже не додумался.
Гораздо большей проблемой для Google стало не преступление, а попытка его сокрытия. Уязвимость устранили в марте, но компания не разглашала эту информацию ещё семь месяцев, пока в руки The Wall Street Journal не попало обсуждение этой ошибки. Компания, судя по всему, поняла, что накосячила — зачем ещё стирать с лица земли соцсеть? –, но оп поводу того, что именно пошло не так, и когда, всё очень запутано, и эта ситуация вскрывает более глубокие проблемы, связанные с тем, как техномир поступает с такими косяками, связанными с приватностью.
Часть неудовольствия происходит от того факта, что с легальной точки зрения Google чиста. Существует множество законов о необходимости сообщать об уязвимостях — в основном, это GDPR, но есть ещё и разные законы уровня стран — однако, по их стандартам, то, что случилось с Google+, нельзя, строго говоря, назвать уязвимостью. Законы говорят об несанкционированном доступе к информации пользователей, описывая простую идею: если кто-то украдёт вашу кредитку или телефон, у вас есть право об этом знать. Но в Google только обнаружили, что эти данные могли быть доступны разработчикам, а не то, что данные реально куда-то утекли. А без явных следов кражи компания по закону не обязана сообщать об этом. С точки зрения юристов, это была не уязвимость, и достаточно было просто по-тихому решить эту проблему.
Есть аргументы, выступающие против раскрытия подобных ошибок, хотя, если судить задним умом, они не так уж убедительны. У всех систем есть уязвимости, поэтому единственной хорошей стратегией с точки зрения безопасности будет их постоянный поиск и исправление. В результате наиболее безопасным ПО будет то, в котором было раскрыто и пропатчено наибольшее количество ошибок, даже если для стороннего наблюдателя это будет казаться контринтуитивным. Неправильно будет заставлять компании сообщать о каждой ошибке — получится, что больше всего наказания понесут те продукты, что больше всего заботятся о пользователях.
Конечно, в самой компании Google годами занимались внезапным разоблачением ошибок других компаний в рамках проекта Project Zero — в частности, поэтому критикам так не терпится наброситься на явное лицемерие компании. Однако команда Project Zero скажет вам, что сообщать о третьих лицах — это совершенно другой коленкор, и такое раскрытие обычно должно поощрять к исправлению ошибок и повышать репутацию благородных хакеров, охотящихся за багами.
Такая логика больше подходит для ошибок в ПО, чем для соцсетей и вопросов личных данных, но в мире кибербезопасности она достаточно распространена, и не будет преувеличением сказать, что она повлияла на ход мыслей в Google, когда там решили замести эту историю под ковёр.
По после неприятного падения Facebook кажутся, что аргументы из мира юриспруденции и кибербезопасности практически не имеют отношения к делу. Договорённость между технокомпаниями и их пользователями хрупка, как никогда, а подобные истории ещё больше вредят ей. Проблема не в утечке информации, а в утечке доверия. Что-то пошло не так, но никто в Google об этом не сказал. И кроме репортажа из WSJ, возможно, ничего об этом не было бы известно. Сложно избежать неприятного риторического вопроса:, а чего ещё они нам не говорят?
Пока рано судить, столкнутся ли в Google с негативом в ответ на это происшествие. Небольшое количество пострадавших и относительная неважность Google+ позволяют сказать, что вряд ли. Но даже если эта уязвимость не была критичной, такие проблемы представляют собой реальную угрозу пользователям и компаниям, которым те доверяют. Непонятки с тем, как назвать это — ошибкой, утечкой, уязвимостью — накладываются на тот факт, что ещё менее понятно, что именно компании обязаны сделать для своих пользователей, когда уязвимость в приватности оказывается значимой, и сколько у нас контроля над своими данными. Эти вопросы оказываются критически важными в нашу технологическую эпоху, и если последние несколько дней и научили нас чему-либо, так это тому, что на эти вопросы индустрия до сих пор пытается найти ответы.
