פרשנות
סוס מת, אך בעייתי: מדוע עלינו לחשוש מדליפת המידע של גוגל פלוס?
מידע אישי של כחצי מיליון איש דלף מהרשת החברתית הקמלה, שמתפקדת בשנים האחרונות כרכיב לפעולות חברתיות בשירותי גוגל השונים. מה מסוכן ברשת חברתית מפורקת, למה הסתירה גוגל את הדליפה ומה יכולות ללמוד מכך חברות אחרות?
אמש (ב') נודע שגוגל חוותה דליפת מידע גדולה: במשך שנתיים תמימות היה מידע של 496,951 משתמשים חשוף לכל פושע סייבר, מפיץ קמפיינים וסוחר מידע. לא מדובר במשתמשי מנוע החיפוש, שירות המיפוי או אנדרואיד - כי אם במשתמשי גוגל פלוס, הרשת החברתית הכושלת של החברה. למעשה, בעקבות החשיפה הודיעה גוגל שתסגור סופית את פלוס בעתיד הקרוב.
- מידע על מאות אלפי משתמשי גוגל פלוס נחשף, החברה לא הודיעה לרגולטורים
- דו"ח פייסבוק ומשבר אמון המשקיעים: שקוף הוא השחור החדש
- פרשת קיימברידג' אנליטיקה: גם טוויטר מכרה מידע של משתמשים
במחשבה ראשונה, אולי אפשר לנשום לרווחה; בעוד גנה של פייסבוק פורח, גוגל פלוס היא שדה בור כבר שנים. החברה אף הפכה אותה לרכיב ששקוף למשתמש - שכבה חברתית בסיסית שמוצמדת ליישומים אחרים. אך במחשבה שנייה, מדובר בדליפת מידע בעייתית לא פחות מאלה שנחשפו בשנה האחרונה בפייסבוק, על אף שלגוגל פלוס אין ממש משתמשים פעילים.
גוגל פלוס בגרסתה המקורית, מ-2011 צילום מסך: Google
ליקוי האבטחה הזה זוהה בידי גוגל עוד במרץ האחרון, אך היא נמנעה עד עכשיו מלדווח או להזהיר את הקהל, מחשש לסנקציות רגולטוריות; באותם הימים נחשפה פרשת קיימברידג' אנליטיקה, המודעות לפרטיות זינקה, ובכירי פייסבוק ספגו טענות קשות ובצדק. גוגל העדיפה להוריד ראש ולתת לסופה לחלוף מעליה, בעוד הליקוי שלה נשמר בסוד.
עתה, כשברור שנהגה החברה בחוסר שקיפות, חוסר כבוד בסיסי כלפי המשתמשים ובניגוד לתקנות הגנת מידע, תקבל את מלוא אור הזרקורים - ויש להניח שגם תספוג את הסנקציות הראויות.
אתם לא מפרסמים פוסטים? להאקרים לא אכפת
למשתמשים יש בהחלט סיבה לכעוס: המידע שדלף מגוגל פלוס כלל שמות, כתובות מייל, גיל, עיסוק, מצב משפחתי ועוד. כל מפתח חיצוני בעל אישור גישה למידע של משתמש אחד, יכל לאסוף גם מידע על חבריו.
מדובר במידע סחיר ביותר, אותו מחפשים ספאמרים, גורמים פוליטיים שרוצים לבנות פרופיל לקהלי יעד, האקרים שמתכננים מתקפות פישינג וכמובן חברות מסחריות ששואפות למקד את הקמפיינים שלהן. גוגל אמנם בדקה את מערכותיה ולא מצאה עדויות לשימוש של צד שלישי במידע הזה, אבל בפועל אין לה דרך לדעת שלא נאגר בצורה חשאית, הדרגתית ומדודה. 438 אפליקציות קיבלו גישה למידע הזה, ולא ניתן לדעת מי מהן מופעלת כשלוחה של סוחרי מידע, פושעי סייבר או יחידת הדיסאינפורמציה של הקרמלין. מספיק שרק אחת מהן פעלה בכוונת זדון, והמידע שנגנב יכול להתחיל להסתובב בין גנבי מידע בכל העולם. לאותם גנבים לא אכפת שחשבונות המשתמש בגוגל פלוס יושבים דומם בעוד בעליהם פעילים ברשתות חברתיות אחרות. המידע שנגנב עדיין רלוונטי, ועדיין יש מי שישלם עליו היטב.
ככל הנראה שגוגל לא מצאה עדויות לניצול עמוק יותר של בור האבטחה שלה, כמו למשל שימוש בגוגל פלוס כראש גשר לאיסוף מידע נרחב בהרבה: בהיותה שכבת שיתוף חברתית, גוגל פלוס היתה מחוברת לכל שאר מוצרי החברה שנועדו לצרכן הקטן. פעולות בגוגל Maps? פתקים בגוגל Notes? ניווט בווייז? אנדרואיד? כל המוצרים הללו נשענו על הרשת החברתית הקמלה לביצוע שיתופים. במקרה כזה, היה על גוגל לבצע רמונט דחוף ורציני ביותר לכל מוצריה - מה שהיה מעכב השקות, מסבך רכיבים ומטבע הדברים - גם חושף אותה לטענות קשות פי כמה, לתביעות ולסנקציות קשות.
הבעיה של גוגל פלוס היא שהחברה הבינה ששום דבר טוב לא יצא ממנה, ועדיין השאירה אותה כמוצר פעיל - שעתה מתברר שלא זכה לאבטחה נאותה. לפני עשר שנים, היה ניתן לראות זאת כהחלטה לגיטימית; ישנם מוצרים מתים, שעדיף להשאיר באוויר ולשכוח מהם, סברו חברות אינטרנט. אך הזינוק במודעות לנושאי אבטחת המידע, הקלות הבלתי נסבלת בה יכול כל משועמם עם אחר צהרים פנוי להפוך להאקר, והרעב האינסופי של חברות למידע אישי מדויק שינו את פני הדברים. כיום אי אפשר להשאיר באוויר מוצרים מקוונים, או להזניח את אבטחתם - וזה בכלל לא משנה אם מדובר בגודזילה כמו גוגל או בשממית כסטארט-אפ בן יומו. יש לקוות שגוגל תיענש פה במלוא החומרה - ושחברות אינטרנט אחרות ילמדו דרכה מה קורה כשמזניחים מוצרים, חיים או מתים.
