MojAndroid

Opäť sme boli svedkami toho, ako sa obrovský kolos, tentokrát samotný Google, nedokázal vysporiadať s ochranou osobných údajov svojich zákazníkov. A keď sa na to už prišlo, svoju službu Google+ radšej vypol. Má ešte vôbec význam sa o takéto excesy zaujímať?

Jeden incident strieda ďalší

Už sa pri otázke bezpečnosti ani nedá povedať, kedy sme mali súvislejšie obdobie bez informácie o nezvládnutej ochrane dát užívateľov. Paradoxne alebo naopak práve pre ich status sa to dotýka veľkých internetových obrov, ktorí by mali mať svoje dáta zabezpečené. No Google alebo Facebook v tom majú najväčší chaos. Stretol som sa už s otázkou, či má vôbec zmysel sa zaoberať nejakou ochranou, keď aj tak samotný poskytovateľ služby za bezpečnosť neručí. Iste, aj príbeh Google+ je tohto príkladom. Ukladáte si na on-line priestor svoje súkromné údaje, zdieľate a povoľujete k nim prístup iba rodine a známym a potom sa dozvieme, že Google+ mal už tri roky chybné People Api, ktoré umožňovalo prístup k takto starostlivo chráneným dátam aj tretej osobe alebo aplikácii. Aj keď sa Google priznal, je to zbytočná snaha. Vo výsledku je uchovávaný záznam o prístupoch cez ich dané API iba dva týždne, čiže presný rozsah úniku údajov nie je známy. Zdá sa teda, že dnes je skutočne jedno, kde a čo si on-line uchovávame a je iba otázka času, kedy sa dozvieme, že mi údaje unikali.

Prvá myšlienka, ktorá hneď každého napadne je otázka financií a náročnosti ochrany takého množstva dát. Avšak Google isto nedostatkom personálnej kapacity a tiež financií netrpí. To isté platí aj pre Facebook. Ja to vnímam skôr cez prizmu „kašleme na to“, aj tak sa to lepšie urobiť nedá. Ak veľká spoločnosť ako je Google nevenuje 100% možností ochrane údajov svojich zákazníkov, je otázka či vôbec má fungovať. Horšie je, že väčšina incidentov končí práve konštatovaním, že sa nedá presne určiť, komu a čo bolo „ukradnuté“ a kým. Teda dáta uniknú, avšak zdá sa mi, ako keby sa už stával štandardom následok, keď sa iba povie, že nám je to ľúto, je to ľudský faktor a zlepšili sme zabezpečenie. Je to však škodlivý štandard, ktorý nás učí byť benevolentný voči takýmto udalostiam.

Google+ má dokonca ešte jeden aspekt, ktorý spoločnosť sama priznáva. Pri pohľade na cirkus, ktorý vyvolal problém s uniknutými dátami v afére Cambridge Analytica a pre Facebook stále nie je jasne uzavretá, sa aj taký gigant, ako je Google zľakol reakcií a možného vyšetrovania. Ohrozená by bola jeho dôveryhodnosť, preto sa s oznámením moc neponáhľal a spojil ho priamo so zrušením samotnej služby. Teda úniky osobných údajov vlastných klientov všetkých trápia, považujú ich za významné narušenie podnikania a vnímania spoločnosti navonok, avšak stále to nie je memento na lepšiu ochranu. Aspoň to ukazujú minulé prípady.

Prestať používať sociálne siete?

Isto sa nič také nestane. Aj keď Cambridge Analytica znamenala tisíce zrušených účtov a hľadanie alternatívy, vo výsledku to Facebook nepocíti. Aj Google ustojí svoje zlyhanie a odchod klientov nebude hromadný. Čo teda robiť? Zrejme dôsledne zvažovať, aké údaje budem publikovať a je jedno, že ich označujem a zdieľam ako súkromné. Napríklad súkromné Google+ dáta malo k dispozícii kvôli chybe vyše 400 aplikácií. Každopádne sa mi osobne nepáči, že sa podobné úniky stretávajú s celkom laxným konštatovaním a okrem mnohých článkov sa tvárime, že sa nič také nestalo. Veď všetci prežili a sú to iba údaje, tak o čo ide? Uvidíme, ako sa bude a či vôbec prístup veľkých spoločností meniť, možno aj pod vplyvom GDPR (skôr jeho tlakom a pokutami, ako reálnym vecným základom).

14.10.2018
  • Mato

    Téma článku super, ale podľa mňa zle uchopená. Začnime Googlom – “súkromné Google+ dáta malo k dispozícii kvôli chybe vyše 400 aplikácií” – čítal som to trochu inak, 400 aplikácií používalo API (v ktorom bola chyba), ale v Google analyzovali kód tých aplikácií a nenašli ani v jednej z nich taký kód, ktorý by chybu v API využíval. To neznamená, že k úniku nedošlo, to len znamená, že 400 aplikácií ktoré spomína autor článku túto chybu nezneužívalo.
    Naopak Facebook, tam tuším nie je rok, kedy by nebol nejaký veľký prúser s ochranou osobných údajov.

    Skôr by som poukázal na inú vec – ak nezvládnu chrániť osobné údaje firmy u ktorých je plat programátora ročne viac ako $100.000, ako sa má s GDPR vysporiadať bežná európska firma? Máš blog? GDPR. Máš eshop? GDPR. Pri každom normálnom použití internetu, kde robíš s analytikou, nebodaj zbieraš adresy kvôli faktúram, tak podliehaš GDPR a je len otázkou času, kedy niekto pumpne dáta z Tvojej databázy.

    A na záver – škandál, firmy kašlú na ochranu osobných údajov! A čo spraví mojandroid.sk? Na konci dá možnosť diskusie len cez Disqus, ktorému tiež ušli osobné údaje. Tak ako je to, vodu kážu a víno pijú?

    • Lukas Vyletel

      GDPR je primarne o tom, aby si ty ako organizacia nezneuzival osobne udaje a neponukal ich tretim stranam atd, obzvlast bez suhlasu uzivatela samotneho. Nie o tom, ze niekto vyuzije bezpecnostnu chybu v systeme.

      Dalej, ked mas blog a pouzivas (google) analytics, tak sice musis riesit GDPR consent dialog ty, na druhu stranu udaje sa nenachadzaju v tvojej databaze, ale v databazach Googlu

+