Googleは数か月間、技術コミュニティのgrowingりを無視しようとしてきましたが、10月8日にこのダムは最終的に崩壊し、めったに使用されないGoogle+ネットワークのエラーのニュースに埋もれました。その結果、50万人のユーザーの個人情報が公開されました。 ケンブリッジアナリティカとの不愉快な話が勢いを増したのとほぼ同時期に、Googleは3月に脆弱性を発見し、閉鎖しました。 ただし、ニュースの出現により、損失は増加します。 Google+のユーザーバージョンは終了し 、 ドイツと米国のプライバシー保護に関与する議員はすでに訴訟を起こす方法を探しており、米国証券取引委員会の元従業員はGoogleが間違ったことを公然と話します。
脆弱性自体は比較的小さいようです。 問題の本質は、開発者向けの特定のAPIであり、それを使用して非公開情報にアクセスできました。 重要なのは、誰かが個人データにアクセスするためにそれを使用したという証拠はなく、死んだユーザーベースを考えると、この個人データがどれだけ見られるかはまったくわかりません。 理論的には、だれでもAPIにアクセスできますが、それをリクエストしたのは432人だけです(繰り返しますが、これはGoogle+です)。
Googleにとってはるかに大きな問題は犯罪ではなく、それを隠そうとする試みでした。 この脆弱性は3月に修正されましたが、このエラーに関する議論がThe Wall Street Journalの手に渡るまで、同社はこの情報をさらに7か月間開示しませんでした。 会社は明らかに、それが台無しになっていることを理解していた-地球の顔からソーシャルネットワークを一掃する他の理由は? -しかし、正確に何が間違っていたのか、いつ、すべてが非常に混乱しているのか、そしてこの状況は、テクノミールがプライバシーに関連するそのような浅瀬をどのように扱うかに関連するより深い問題を明らかにします。
フラストレーションの一部は、法的観点から見ると、Googleがクリーンであるという事実に由来しています。 脆弱性を報告する必要性については多くの法律があります-主にGDPRですが、国レベルでも異なる法律があります-しかし、その基準からすると、Google +に起こったことは厳密に言えば脆弱性とは言えません。 法律はユーザー情報への不正アクセスについて述べており、簡単なアイデアを説明しています。誰かがあなたのクレジットカードや電話を盗んだ場合、あなたはそれについて知る権利があります。 しかし、Googleはこのデータを開発者が利用できることのみを発見し、データが実際にどこかに漏洩したことを発見しませんでした。 盗難の明らかな兆候がなければ、会社はこれを報告することを法律で義務付けられていません。 弁護士の観点からは、これは脆弱性ではなく、この問題を静かに解決するだけで十分でした。
このようなエラーの開示に反対する議論がありますが、後知恵で判断すると、それらはそれほど説得力がありません。 すべてのシステムには脆弱性があるため、セキュリティの観点からの唯一の優れた戦略は、それらを常に検索して修正することです。 結果として、最も安全なソフトウェアは、たとえ外部の観察者に直観に反しているように見えても、最も多くのエラーが発見され修正されたソフトウェアになります。 すべてのエラーを企業に報告するよう強制するのは間違っています。ユーザーを最も重視する製品が最も罰せられることがわかります。
もちろん、長年にわたり、Google自体はProject Zeroプロジェクトのフレームワークで他社のミスを突然暴露してきました。そのため、特に批評家は会社の明らかな偽善を攻撃することに熱心です。 ただし、Project Zeroチームは、サードパーティの報告はまったく異なる口径であり、そのような開示は一般にバグ修正を促進し、バグを探している高貴なハッカーの評判を高めるはずだと言うでしょう。
このロジックは、ソーシャルネットワークや個人データの問題よりもソフトウェアのエラーに適していますが、サイバーセキュリティの世界では非常に一般的であり、このストーリーをカーペットの下で置き換えようと決めたときにGoogleの思考に影響を与えたと言っても過言ではありません。
しかし、Facebookの不愉快な崩壊の後、法学とサイバーセキュリティの世界からの議論は実質的に無関係であるようです。 テクノロジー企業とそのユーザーとの間の合意はこれまで以上に脆弱であり、そのような話は彼女をさらに傷つけます。 問題は情報の漏洩ではなく、信頼の漏洩です。 何かがうまくいかなかったが、Googleの誰もそれを言っていない。 そして、WSJからの報告は別として、おそらくこれについては何も知られていないでしょう。 不快な修辞的な質問を避けることは困難です:他に何を言わないのですか?
Googleがこの事件に対して否定的な反応に直面するかどうかを判断するのは時期尚早です。 少数の被害者とGoogle+の相対的な重要性から、それはありそうもないと言えます。 ただし、この脆弱性が重大ではない場合でも、そのような問題は、ユーザーや企業が信頼する実際の脅威となります。 それを呼び出す方法についての誤解-ミス、リーク、脆弱性-は、企業がユーザーに対して正確に何をする必要があるか、プライバシーの脆弱性が重大な場合、データをどの程度制御できるかがさらに明確ではないという事実に重ねられています。 これらの質問は私たちの技術の時代において重要であり、ここ数日で何かを教えてくれたなら、業界はまだこれらの質問に対する答えを見つけようとしているということです。