Intern Google-database avslører tusenvis av sikkerhets- og personvernbrudd

Lagret ved en feil posisjoner til biler og tale fra mindreårige.

Google har et internt system der ansatte kan rapportere inn problemer relatert til sikkerhet eller personvern i noen av selskapets produkter. 📸: NTB / AFP
Google har et internt system der ansatte kan rapportere inn problemer relatert til sikkerhet eller personvern i noen av selskapets produkter. 📸: NTB / AFP Vis mer

En intern Google-database som nettstedet 404 Media har fått tilgang til viser at Google i perioden 2013 til 2018 hadde en rekke personvern- og sikkerhetsbrudd – det meste ukjent frem til nå.

Databasen inneholder rapporter om slike personvern- og sikkerhetsbrudd som er meldt inn av Googles egne ansatte – flere tusen rapporter totalt.

Noe av det som kommer frem i databasen er ifølge 404 Media at Google ved et uhell har lagret posisjonene til kjøretøy og samlet inn lydklipp med tale fra barn.

404 Media skriver at hendelsene hver for seg kanskje ikke berører veldig mange mennesker, men at den interne databasen som helhet gir et innblikk i hvordan en av de største og viktigste bedriftene i verden behandler enorme mengder personlige og sensitive data om mennesker.

«Siden bilers registreringsskilter jo også er tekst, har også dette blitt transkribert.»

Lagret posisjonsdata om kjøretøy

I 2016 meldte en Google-ansatt at vedkommende hadde oppdaget at Google Street Views systemer ved en feil transkriberte og lagret tekst fra bilskilter.

Google bruker en algoritme for å detektere tekst i bildene som er tatt for bruk i Street View. Siden bilers registreringsskilter jo også er tekst, har også dette blitt transkribert.

– Som et resultat av dette, inneholder vår database med objekter detektert fra Street View nå geolokaliserte registreringsnumre og deler av registreringsnumre, skrev den Google-ansatte i rapporten.

I rapporten står det at dette var et uhell, og at systemet som transkriberer bildene til Street View egentlig skal unngå å transkribere bilskilter. Men av ukjente grunner skjedde ikke det. Disse dataene skal ha blitt slettet.

Tale fra 1.000 barn ble logget

I en annen hendelse som ble rapportert inn ble lyd fra rundt 1.000 barn samlet inn i omtrent én time.

Den som rapporterte inn hendelsen skriver i rapporten at alle loggede taledata fra den aktuelle perioden ble slettet etter at de oppdaget tabben.

Databasen 404 Media har fått tak i inneholder også et stort antall andre små og store hendelser.

For eksempel ble e-postadressene til rundt 1 million brukere fra Socratic.org tilgjengelige i kildekoden til selskapets nettside. Dette var et selskap Google i sin tid kjøpte opp.

I denne hendelsen kan også geolokasjon og IP-adresser til brukere ha vært tilgjengelig, inkludert informasjon tilhørende mindreårige. Feilen ble fikset i forbindelse med Googles overtakelse av selskapet, men dataene skal ha vært eksponert i mer enn ett år.

Google svarer

Selv om man kan hevde at sikkerhets- og personvernbruddene aldri burde skjedd i utgangspunktet, er det selvfølgelig bra at Google har systemer på plass for å fange opp slike hendelser.

Google sier i en uttalelse til 404 Media at deres systemer gjør at Google-ansatte raskt kan flagge potensielle problemer med produkter slik at de kan gjennomgås av relevante team hos Google.

– Rapportene 404 har fått tak i er fra mer enn seks år siden, og er eksempler på slike flagg. Alle ble gjennomgått og løst på det aktuelle tidspunktet. I noen tilfeller viste det seg at ansattes flagg ikke var reelle problemer, eller problemer som ansatte hadde funnet i tredjeparts tjenester, skriver Google i uttalelsen.