Google в последнее время всё чаще фигурирует в скандала с приватностью. Неприятность постигла их и на этот раз. Хотя, ещё более неприятно должно быть тысячам владельцев доменов Google Apps, которые не хотели выставлять свои записи WHOIS на всеобщее обозрение.
Как и в случае с записью трафика с WiFi-хотспотов автомобилями Google Maps в 2013 году, здесь тоже проблема возникла, очевидно, по причине банальной программной ошибки.
Ошибку обнаружили специалисты Talos Group. В своём блоге они разбираются, как произошла утечка. Так, на момент написания статьи через Google App и регистратора eNom было зарегистрировано 305 925 доменов. Из них для 282 867 доменов была открыта информация в базе WHOIS, включая полные имена, адреса, телефонные номера и почтовые адреса.
На графике видно, что баг закрался в систему где-то в середине 2013 года, когда внезапно стала расти доля пользователей с отключенными настройками сохранения конфиденциальной информации. После недавнего исправления статистика резко поменялась: защиту приватности включили для всех.
А ведь регистратор eNom продаёт веб-мастерам платный сервис, специально упирая на сохранение приватности как один из своих козырей (на скриншоте вверху).
Однако, по какой-то причине приватность снималась при продлении регистрации домена, что видно из следующего скриншота. Это ошибка в одном бите информации, где хранился флаг Protected? (Y/N).
После получения отчёта об уязвимости компания Google исправила баг, а 12 марта разослала владельцам доменов письма с извинениями. Однако, это слабое утешение для сотен тысяч веб-мастеров, чьи личные данные уже попали в Сеть.
17.03.2015 в 14:44
Вспомнился мне один недавний комментарий тут по поводу Google, «там не дураки сидят». :)))))
17.03.2015 в 16:29
Людям свойственно ошибаться.
17.03.2015 в 17:52
Люди и ошиблись, что доверились!
17.03.2015 в 18:04
Все ошибаются. Как с одной стороны так с другой.
17.03.2015 в 17:57
Допустил ошибку — сразу дурак? Покажи нам свой код.
17.03.2015 в 22:23
Дурак тот, кто сегодня верит каким-то рассказам про приватность.
18.03.2015 в 10:57
Да, «сразу дурак». Но не тот, кто допустил ошибку. Дурак тот, кто берёт на себя ответственность за обработку чужих персональных данных, при этом нанимая на работу вечно ошибающихся программистов, а также не имеет хорошей практики аудита кода.