את תנאי השירות מיהרנו להסכים לחזור ולרדוף אותנו.

ביום חמישי האחרון, הוול סטריט ג'ורנלדיווחה שגוגל אישרהדיווחים קודמיםעל הגישה מרחיקת הלכת שיכולות להיות ליישומי צד שלישי לחשבונות של משתמשי Gmail ולאימיילים אישיים.

כאשר אתה מוריד אפליקציה, היא עשויה לבקש גישה לחשבון Gmail שלך. אבל מה שאתה אולי לא מבין כשאתה מעניק גישה הוא שיישומים אלה עשויים לנתח את נתוני Gmail שלך - כולל התוכן של הודעות הדוא"ל שלך - עבור המוצר שלהם, ואולי גם למיקוד מודעות. אפליקציות רשאיות גם לשתף את המידע שלך עם צדדים שלישיים, כל עוד גוגל קובעת שהיא חושפת את זה כראוי למשתמשים. הכְּתַב הָעֵתדווח בעבר כי "מאות" אפליקציות יכולות לסרוק את המייל של "מיליוני" משתמשים.

גוגל אומרהוא סוקר אפליקציות כדי לוודא שהן מעבירות בבירור את מה שיש להן גישה אליו. אבל אלא אם משתמשי Gmail יהיו חרוצים, מומחי אבטחה שאיתם שוחח Mashable אומרים שהמדיניות עשויה לחשוף אנשים בדרכים שאולי לא הסכימו או הבינו.

עם זאת, מספר מומחים אמרו כי הגישה של מפתחי אפליקציות לנתוני משתמשים היא יותר מסתם עלולה להיות מצמררת או פולשנית. מתן גישה לאפליקציה ל-Gmail שלך יכול לחשוףקיבלמיילים כמו גם מיילים שנשלחו. לכן, מכיוון שהמדיניות עלולה לחשוף את הנתונים שלך ושל החברים שלך, גישה לאפליקציה לג'ימייל עלולה ליצור סיכון אבטחה דומה למנגנון שאיפשר לפייסבוקשערוריית קיימברידג' אנליטיקה.

במקרה זה, חוקר השתמש באפליקציה של צד שלישי, שהורדו על ידי 270,000 אנשים, כדי לאסוף נתונים על כל 87 מיליון משתמשי פייסבוק ברשתות החברים שלהם, ולאחר מכן מכר את הנתונים לחברה (Cambridge Analytica) שהשתמשה בהם כדי לעסוק פרסום פוליטי. לכן, באופן דומה, אם במקרה תשלח דוא"ל למשתמש Gmail שנתן לאפליקציה הרשאה לקרוא את המיילים שלו, לא רק שהאפליקציה יכולה לראות את ההתכתבות והמידע שלך - אלא שצד שלישי שהוסר יכול גם לראות את הדוא"ל שלך, ללא אי פעם נתת הסכמה לכל אחד מהצדדים.

"אני לא רואה מה מונע ניצול לרעה ושימוש לרעה בגישה מהסוג הזה באופן דומה לקיימברידג' אנליטיקה."בריאן הונאן, יועץ אבטחת סייבר לחברות בנקאיות גדולות שעבדו בעבר עם יורופול. "אפליקציות של צד שלישי עם גישה לחשבונות של אנשים יכולות לחשוף הרבה נתונים אישיים על אותם אנשים שיכולים לשמש כדי למקד אליהם פרסומות או הודעות עוקבות".

המדיניות

במכתב, גוגל אמרה לקונגרס כי כאשר משתמשי Gmail מעניקים לאפליקציות גישה לחשבונות שלהם, הם עלולים - אולי בטעות, אם הם לא קוראים את התנאים מקרוב מספיק - לאפשר לאפליקציות אלו לאסוף את המידע האישי שלהם. לאחר מכן, אפליקציות יכולות להשתמש במה שאנשים מדברים עליו בדוא"ל שלהם, יחד עם מידע דמוגרפי ואחר, כדי למקד את הפרסום שלהם. גוגל מתארת ​​את המדיניותכָּאן.

יתרה מכך, לפי הכללים של Gmail, מפתחים רשאים לשתף את הנתונים של משתמשי Gmail עם גורמים חיצוניים אחרים.גוגל אומרשהוא בודק את האפליקציות, ומאפשר שיתוף נתונים זה כל עוד הוא קובע שהמפתחים חושפים את הפעילות בצורה נאותה.

Gmail עצמוסיים את התרגולשל שימוש בתוכן של הודעות דוא"ל של אנשים למיקוד מודעות ביולי 2017. אבל זה כנראה שמר על היכולת עבור גורמים חיצוניים - כל עוד המשתמשים "מסכימים".

מומחים אומרים שהחלק הזה במדיניות מפתחי האפליקציות של Gmail נוגע מכמה סיבות, הן בחזית האבטחה והן בפרטיות.

"ללא בקרות טכניות מובנות, ספקי אפליקציות יגיעו לכל מקום שהם יכולים בתוך הפלטפורמה, ובתוך חשבונות משתמש."רבקה הרולד, מומחה מוביל לאבטחת מידע ויועץ לתאגידים רב לאומיים, המכונה גם "פרופסור הפרטיות", אמר. "זה מה שהאפליקציות נועדו לעשות, לאסוף נתונים. החברות האלה צריכות לבנות מערך בקרות קפדני יותר כדי למנוע את זה".

בִּטָחוֹן

הבעיה הפשוטה ביותר במדיניות של Gmail היא פרצות האבטחה שהיא יכולה לפתוח בפני משתמשים.

"כל הצדדים השלישיים הללו נבדקו על ידי גוגל, אבל המציאות היא שכל חברה חשופה לפרצות מידע", אמר גארי דייוויס, אוונגליסט אבטחת הצרכן הראשי של מקאפי. "ככל שאדם או חברה חולקים נתונים אישיים יותר, כך גדל הסבירות שמידע זה ייפול לידיים זדוניות".

גוגל מדגישהשהיא סוקרת בקפידה אפליקציות ומשתמשת בטכנולוגיית סינון מתוחכמת לזיהוי תוכנות זדוניות. ואם אתה מוריד אפליקציה מגוגל פליי או מחנות האפליקציות, הסיכוי להיתקל באפליקציה זדונית נמוך (אם כי עדיין אפשרי). אבל אנשיםיכול ולעשותלהוריד אפליקציות מחוץ למערכות אקולוגיות אלו.

במקרים אלה, מדיניות איסוף הנתונים של גוגל עלולה לאפשר לאפליקציות זדוניות לקבל גישה לחשבונות של אנשים ולערער אותם - במיוחדבאנדרואיד. הרולד ציין שחלק ממדיניות האפליקציה מאפשרת לאפליקציות "להחדיר מידע, לערוך ולהעלות" לחשבונך, מה שעלול להוביל לתוכנות זדוניות לשלוח דואר זבל בשמך. וגישה לאימיילים אישיים יכולה לאפשר לשחקנים גרועים ליצור הודעות דיוג משכנעות וממוקדות יותר.

"גוגל טוענת שיש לה תהליכים ומערכות לזיהוי והסרה של אפליקציות זדוניות מהחנות שלה, אך למרות הצעדים הללו, אפליקציות זדוניות עדיין נמצאות בקביעות בחנות", אמר הונאן.

"מהיבט של אבטחת סייבר, אתה לא יודע עד כמה אפליקציות צד שלישי אלה נבדקו על ידי גוגל", אמר הרולד.

נטל הפרטיות

בעוד שאפליקציות זדוניות עלולות להוות סיכון אבטחה, אפליקציות לגיטימיות שפשוט רוצות להשתמש בנתונים שלך לפרסום עשויות למעשה להיות הבעיה הגדולה יותר.

נכון לעכשיו, תעשיית הטכנולוגיה עוברת שינוימי שנושא באחריותלהבטחת פרטיות המשתמש. עד לנקודה זו, האחריות להגן על הפרטיות הייתה על המשתמשים - מה שמשקף את המדיניות הנוכחית של Gmail עם מפתחי אפליקציות.

אבל בזכות התקנת הגנת מידע כללית(GDPR) באירופה, הנוהג של לגרום לאנשים להסכים למסור את הנתונים שלהם על ידי הטמנת הסכמה בתנאים והגבלות נמצא בבדיקה. שינוי המדיניות של Gmail עצמו לגבי אי ניתוח דוא"ל למען נתוני פרסום משקף את השינוי הים הזה. וגוגל הניעה לאחרונה את המשתמשים שלה לבדוק בצורה יזומה יותר את הגדרות האבטחה.

אבל עמדתה של החברה כלפי אפליקציות שיש להן גישה לדואר אלקטרוני משקפת גישה מיושנת ופגיעה לפרטיות.

"זה נראה להם כמו דרך עצלה לטפל בזה", אמר הרולד. "הם מנסים לדחות את האחריות למי שמשתמש בג'ימייל במקום שגוגל נוקטת בצעדים אקטיביים כדי לאבטח את Gmail בפועל ולהגביל את מה שאפליקציות צד שלישי יכולות לעשות בפועל".

נכון לעכשיו, כאשר אנשים מורידים אפליקציה, הם עשויים להסכים לתת לאפליקציה זו גישה לחשבונות הג'ימייל שלהם - ולאפשר בטעות לאפליקציות לקרוא את המיילים שלהם ולספק את הנתונים שלהם לחברות אחרות. הדרך שבה אנשים מעניקים רשות עשויה להיות ברורה וישרה, במיוחד אם היא מתרחשתבמערכת אקולוגית של גוגל. אבל הדרכים שבהן אנשים נותנים הסכמה משתנות ממכשיר למכשיר ומאפליקציה לאפליקציה. זה אומר ש-Gmail מכוסה מבחינה טכנית, מנקודת מבט משפטית. אבל אולי מורידי אפליקציות נמהרים שממהרים לעבור הרשאות.

נכון לעכשיו, משתמשי Gmail יכולים לבדוק ולבטל גישה לאפליקציות בכתובתmyaccount.google.com. אבל דייוויס של McAfee אומר שגוגל צריכה להקל על המשתמשים לשלוט למי יש גישה לנתונים שלהם בתוך Gmail.

"החלק המשמעותי ביותר של זה באמת מסתכם בהעדפה אישית", אמר דייוויס. "בחיים העמוסים שלנו אנשים רבים מעריכים את היכולת להציג מודעות שמתאימות לצרכים האישיים שלהם. עם זאת, ישנם גם אנשים רבים שמרגישים שזו פגיעה בפרטיות שלהם. מאפשר למשתמשי Gmail להצטרף או לבטל את הסכמתם דרך גלויה יכולה לעזור לתמוך בצרכים של צרכנים משני קצוות הספקטרום".

קיימברידג' אנליטיקה: מהדורת Gmail?

מה שהפך את קיימברידג' אנליטיקה לאסון בקנה מידה כה גדול היה אפקט האדווה. רק כ-270,000 אנשים הורידו את האפליקציה. אבל האנשים האלה נתנו לחוקר אלכסנדר קוגן גישה לנתונים על כל חברי הפייסבוק שלהם, מה שאומר שבסופו של דבר היו לו נתונים על 87 מיליון אנשים.

באופן דומה, אפליקציות שקיבלו הרשאה לגשת לתיבת הדואר הנכנס של אדם רואות את האפליקציות שלהןכֹּלתיבת דואר נכנס - לא רק המיילים שנכתבו על ידי האדם האחד שנתן את הסכמתו לגישה. זה אומר שלאפליקציות האלה יכולה להיות גישה למיילים ולפרטי הקשר של מי שאדם מתכתב איתו. ייתכן שהם לא יקבלו גישה לכל נתוני הפרופיל, כמו ב-Cambridge Analytica, אבל הם עדיין יוכלו ללמוד שמות, מיילים ומידע אישי אחר של אנשים.

ייתכן שהציוץ נמחק

הרולד חושב שבניית בקרות ספציפיות לשמירה על המידע של אנשים צריכה להיות בידי Gmail, ולא רק לדחות את מדיניות הפרטיות להסכמים משפטיים צפופים.

"חברות אינטרנט צריכות לכלול בקרות אבטחה מונעות בפלטפורמה שלהן כדי שיוכלו לחסום גישה לאזורים ספציפיים בחשבונות המשתמשים שלהן", אמר הרולד. "פייסבוק לא עשתה את זה. החוזה שלהם השאיר את התשתית שלהם פתוחה לרווחה, ונשמע שגם גוגל עושה את זה".

ועם קיימברידג' אנליטיקה, קוגן לא הורשה מבחינה טכנית לחלוק את הנתונים שלו עם גורמים נוספים. אבל עם Gmail, זה מקובל - כל עוד אפליקציות חושפות מה הן עושות.

"ההבחנה הגדולה ביותר היא שקיפות", אמר דייוויס. "מפתחי Gmail נדרשים להיות שקופים עם האופן שבו הם משתמשים בנתוני Gmail, בעוד שהבעיה עם שערוריית קיימברידג' אנליטיקה הייתה חוסר הבנה למי יש גישה לאילו נתונים".

תהליך הניטור והשקיפות הזה אמור להגן על משתמשי Gmail. אבל רק אם הם באמת לקחו את הזמן לקרוא את מה שהם הסכימו לו.

וכל עוד שום דבר לא משתבש.

"הבעיה בהתלות בדרישות החוזיות היא שהם אינם פקדי אבטחת מידע בפני עצמם", אמר הרולד. "מנקודת מבט של פרטיות, אין לך מושג מה האפליקציות האלו עשויות לגשת, לקחת ומשתמשות במקומות אחרים. הלא ידוע הוא הסיכון הגדול ביותר."