Fant 35 millioner Gmail-profiler
Google tillater massiv nedlasting av personlige data fra sine tjenester.
Åpen profilinformasjon som søketjenestene på internett bruker, kan også høstes av alle andre. En forsker samlet 35 millioner brukerprofiler som et tilleggsprosjekt over en måned. Google hadde ingen hindringer for denne innhøstingen, skriver The Register.
Eksperimentet viser at manglende bevissthet i å verne egen, personlig informasjon er et stort problem. Det er heller ingen grunn til å tro at dette ikke er utnyttet av personer med mindre edle hensikter.
Det var en doktorgradsstudent ved Universitetet i Amsterdam, Matthijs R. Koot, som lurte på om det var mulig å høste inn slike data til hvem som helst. Han ville også finne hvilke hindringer en leverandør som Google la i veien for denne type innhenting. Koot forsker innen feltet personvern og internett.
Ikke ulovlig
Gjennom helt enkle kodekall og script klarte Koot gjennom en måned å hente inn navn, epostadresser og forskjellig annen personinformasjon fra Google Profiles. Det var ingen grenser for hvor store datamengder Google lot ham hente ut heller. Navn, utdanning, jobber, kvitringer hos Twitter og Picasa-album er tilgjengelig for alle. I tillegg kom epostadressene til 11 millioner brukere.
- Jeg forsøkte først å laste ned ti tusen filer, deretter hundre tusen og så en million. Jeg ble veldig overrasket over at ikke min forbindelse ble blokkert eller strupet, men jeg fikk også lastet ned resten, skriver Koot i en epost til The Register, som gjennomførte hele operasjonen fra én ip-adresse.
Det som er oppsiktsvekkende, er at verken forsker eller Google har gjort noe direkte galt eller ulovlig. Informasjonen som hentes inn fra disse søkemotorfilene, er lagt der åpent av brukerne. I samband med at en personlig profil opprettes, legges informasjonen i den offentlige delen ut i denne filen. Slik får søkemotorer mulighet til å indeksere opplysningene og gjøre dem søkbare.
Grunnlag for id-tyveri
Opplysningene kan brukes til mer enn å finne fram til folk på nett. Etterretning, privatdetektiver, søppelpostsendere eller digitale kriminelle kan bruke informasjonen alene eller sammenstilt med annen informasjon. Slik kan komplette identiteter og relasjoner for svært mange lages på svært kort tid.
Les også: Flau feil for Google
Det hjelper ikke å gjøre personlig informasjon privat etter at den har vært offentlig tilgjengelig på internett en stund. All denne informasjonen vil fortsatt eksistere i databaser som har samlet dem inn mens de fortsatt var åpne. De kan bare fjernes ved å gå på hver enkel databaseeier og be om at de fjernes. Siden ingen vet hvor mange databaseeiere som har samlet dette inn, eller at databasen ligger i land med en annen personvernlovgiving, kan de fleste skyte en hvit pil etter håpet om å fjerne all gammel ufornuft.
Facebook mer diskret enn Google
Forsøket viste også at Facebook ikke er så slepphendt som Google. Selskapet har sannsynligvis de mest komplette profilene av internettbrukere samlet på ett sted i hele verden. Men deres søkefil over offentlig del av informasjonen har restriksjoner som gjør at denne testen ikke kunne kopieres. I alle fall ikke like enkelt. Blokkering, båndbreddestruping eller captcha-autentisering hindrer at Facebook-data kan tappes i samme omfang. Dette skjedde etter at en annen forsker hentet ut profilinformasjonen til 100 millioner brukere i juli i fjor.
- Åpne profiler blir vanligvis funnet når man bruker søkemotorer. Disse søkene gir ingen informasjon som ikke allerede er lagt offentlig. Brukerne velger selv hva som skal være offentlig, og de har en egen mulighet for å gjøre all profilinformasjon usøkbar, sier en Google-talsperson til The Register.
Google sies å være i gang med å sjekke om denne innhentingen av informasjon strider mot reglene som gjelder for tjenestene til Google.
Les mer: Få varsel når Google spionerer på deg
Informasjonen om dette forsøket ble publisert i en bloggartikkel i med Google-eide blogger.com som vert. Koot poengterer at forsøket avdekker at alle som vil legge ut personlig informasjon i sosiale nettverk må huske å ikke gjøre all informasjonen offentlig i samme slengen.