Una fuga di dati interni di Google suggerisce che l’azienda ha raccolto e memorizzato dati sensibili degli utenti per anni, in alcuni casi senza il loro consenso. La fuga di notizie solleva dubbi sulla trasparenza di Google e sulla sua gestione dei dati degli utenti.
Come la maggior parte delle aziende tecnologiche, Google fa un certo sforzo per essere trasparente riguardo ai suoi protocolli e alle sue politiche di raccolta dati, presentando online i suoi termini e condizioni per il pubblico. Detto questo, anche se pochissimi familiarizzano con il regolamento interno dell’azienda, la maggior parte degli utenti si aspetta una sorta di livello base di privacy. Ora, una nuova fuga di dati interni suggerisce che ci potrebbe essere stato motivo di essere scettici riguardo all’impegno di Google per la trasparenza.
Secondo 404 Media, informazioni scoperte in un database interno indicano che Google ha raccolto i dati personali degli utenti delle sue app e prodotti per un periodo di sei anni. Tra il 2013 e il 2018, l’azienda ha raccolto e memorizzato dati da app che vanno da Waze a YouTube a AdWords, con i dipendenti di Google che segnalavano e classificavano questi incidenti per priorità all’interno di questo database. E mentre alcune delle situazioni hanno riguardato un numero limitato di utenti — e sono state spesso rapidamente risolte dopo la loro scoperta — altre includevano informazioni di utenti vulnerabili, come i bambini.
Alcune delle segnalazioni ad alta priorità coinvolgevano la registrazione delle voci dei bambini tramite il microfono di Gboard, la fuga di contenuti video interni di YouTube da Nintendo e la raccolta di informazioni sulle targhe attraverso Street View. Anche se questi incidenti sono stati frequentemente affrontati dall’azienda, la stragrande maggioranza di questi esempi non è stata riportata pubblicamente fino ad oggi. Allo stesso modo, fanno luce su gravi vulnerabilità che devono ancora essere risolte, e sulle conseguenze che si sono manifestate. Il rapporto di 404 Media è nato da una fonte anonima, sebbene Google abbia successivamente confermato “aspetti” di questo dataset.
Altri esempi di dati inappropriatamente raccolti, distribuiti o trapelati dalle app Google includono informazioni sui pagamenti dei dipendenti tramite il software dell’agenzia di viaggi Sabre, indirizzi e viaggi effettuati tramite Waze attraverso la sua funzione di carpooling, e file di Docs impostati per essere condivisi tramite link quando, in realtà, erano resi pubblici. L’azienda ha rilasciato a 404 Media la seguente dichiarazione in risposta al rapporto:
“Da Google, i dipendenti possono segnalare rapidamente potenziali problemi di prodotto per la revisione da parte dei team competenti. Quando un dipendente invia la segnalazione, suggerisce il livello di priorità al revisore. I rapporti ottenuti da 404 sono di oltre sei anni fa e sono esempi di queste segnalazioni — ognuna è stata esaminata e risolta in quel momento. In alcuni casi, queste segnalazioni dei dipendenti si sono rivelate non essere problemi o erano problemi che i dipendenti hanno trovato nei servizi di terze parti”.
Google è stato recentemente sotto accusa per incidenti simili che coinvolgono l’esposizione di informazioni sensibili. Secondo una serie di documenti trapelati dell’API di Google Search, l’azienda non è stata del tutto trasparente riguardo alle sue operazioni di ricerca. In alcuni casi, i documenti contraddicono ciò che i portavoce hanno detto negli anni riguardo alle operazioni di Google, i sottodomini possono essere trattati separatamente nelle classifiche dei siti web dopo tutto, ad esempio.
Mentre le informazioni trapelate probabilmente richiederanno mesi per essere esaminate, c’è motivo di credere nella loro autenticità. Rand Fishkin, co-fondatore di SparkToro, che ha ricevuto i documenti API da una fonte anonima, ha notato che Google non ha contestato la loro legittimità quando è stato interrogato.