Утечки данных, убившей Google+, возможно, не было вовсе

Месяцами компания Google пыталась откреститься от нарастающего возмущения технической общественности, но 8 октября эта дамба, наконец, рухнула, погребённая под новостями об ошибке ^[1] в редко использовавшейся сети Google+, в результате которой личная информация полумиллиона пользователей могла стать достоянием общественности. В Google нашли и закрыли уязвимость ещё в марте, примерно в то же время, когда набирала обороты неприятная история с Cambridge Analytica ^[2]. Однако с появлением новостей убытки нарастают. Пользовательская версия Google+ закрывается ^[3], законодатели, занимающиеся защитой частной жизни в Германии ^[4] и США ^[5] уже ищут возможности подавать иски, а бывшие работники Комиссии по ценным бумагам и биржам США в открытую рассуждают ^[6] о том, что в Google сделали не так.

Сама по себе уязвимость кажется относительно небольшой. Суть проблемы состояла в специфическом API для разработчиков, с помощью которого можно было получить доступ к непубличной информации. Что важно, нет никаких доказательств того, что его кто-то использовал для доступа к личным данным, и, учитывая дохлую базу пользователей, неизвестно, сколько этих личных данных можно было вообще увидеть. Теоретически доступ к API мог получить любой желающий, однако запросили его всего 432 человека (повторюсь, это ж Google+), поэтому можно предположить, что никто из них до такого даже не додумался.

Гораздо большей проблемой для Google стало не преступление, а попытка его сокрытия. Уязвимость устранили в марте, но компания не разглашала эту информацию ещё семь месяцев, пока в руки The Wall Street Journal не попало обсуждение ^[7] этой ошибки. Компания, судя по всему, поняла, что накосячила – зачем ещё стирать с лица земли соцсеть? – но по поводу того, что именно пошло не так, и когда, всё очень запутано, и эта ситуация вскрывает более глубокие проблемы, связанные с тем, как техномир поступает с такими косяками, связанными с приватностью.

Часть неудовольствия происходит от того факта, что с легальной точки зрения Google чиста. Существует множество законов о необходимости сообщать об уязвимостях – в основном, это GDPR ^[8], но есть ещё и разные законы уровня стран – однако, по их стандартам, то, что случилось с Google+, нельзя, строго говоря, назвать уязвимостью. Законы говорят об несанкционированном доступе к информации пользователей, описывая простую идею: если кто-то украдёт вашу кредитку или телефон, у вас есть право об этом знать. Но в Google только обнаружили, что эти данные могли быть доступны разработчикам, а не то, что данные реально куда-то утекли. А без явных следов кражи компания по закону не обязана сообщать об этом. С точки зрения юристов, это была не уязвимость, и достаточно было просто по-тихому решить эту проблему.

Есть аргументы, выступающие против раскрытия подобных ошибок, хотя, если судить задним умом, они не так уж убедительны. У всех систем есть уязвимости, поэтому единственной хорошей стратегией с точки зрения безопасности будет их постоянный поиск и исправление. В результате наиболее безопасным ПО будет то, в котором было раскрыто и пропатчено наибольшее количество ошибок, даже если для стороннего наблюдателя это будет казаться контринтуитивным. Неправильно будет заставлять компании сообщать о каждой ошибке – получится, что больше всего наказания понесут те продукты, что больше всего заботятся о пользователях.

Конечно, в самой компании Google годами занимались внезапным разоблачением ошибок других компаний в рамках проекта Project Zero – в частности, поэтому критикам так не терпится наброситься на явное лицемерие компании. Однако команда Project Zero скажет вам, что сообщать о третьих лицах – это совершенно другой коленкор, и такое раскрытие обычно должно поощрять к исправлению ошибок и повышать репутацию благородных хакеров, охотящихся за багами.

Такая логика больше подходит для ошибок в ПО, чем для соцсетей и вопросов личных данных, но в мире кибербезопасности она достаточно распространена, и не будет преувеличением сказать, что она повлияла на ход мыслей в Google, когда там решили замести эту историю под ковёр.

Но после неприятного падения Facebook кажется, что аргументы из мира юриспруденции и кибербезопасности практически не имеют отношения к делу. Договорённость между технокомпаниями и их пользователями хрупка, как никогда, а подобные истории ещё больше вредят ей. Проблема не в утечке информации, а в утечке доверия. Что-то пошло не так, но никто в Google об этом не сказал. И кроме репортажа из WSJ, возможно, ничего об этом не было бы известно. Сложно избежать неприятного риторического вопроса: а чего ещё они нам не говорят?

Пока рано судить, столкнутся ли в Google с негативом в ответ на это происшествие. Небольшое количество пострадавших и относительная неважность Google+ позволяют сказать, что вряд ли. Но даже если эта уязвимость не была критичной, такие проблемы представляют собой реальную угрозу пользователям и компаниям, которым те доверяют. Непонятки с тем, как назвать это – ошибкой, утечкой, уязвимостью – накладываются на тот факт, что ещё менее понятно, что именно компании обязаны сделать для своих пользователей, когда уязвимость в приватности оказывается значимой, и сколько у нас контроля над своими данными. Эти вопросы оказываются критически важными в нашу технологическую эпоху, и если последние несколько дней и научили нас чему-либо, так это тому, что на эти вопросы индустрия до сих пор пытается найти ответы.

Автор: SLY_G

Источник ^[9]