Uma coleção de casos internos de privacidade do Google vazados fornece uma rara visão do volume da empresa e do tratamento de violações, acidentes e outros incidentes. 404 Mídia obtido e examinado no banco de dados, que cobre milhares de questões de privacidade e segurança sinalizadas internamente de 2013 a 2018.
O Google verificou a autenticidade do tesouro com o Engadget, mas alegou que alguns dos relatórios estavam relacionados a serviços de terceiros ou não acabaram sendo motivo de preocupação. “No Google, os funcionários podem sinalizar rapidamente possíveis problemas de produtos para revisão pelas equipes relevantes”, escreveu um porta-voz da empresa ao Engadget. “Quando um funcionário envia a sinalização, ele sugere o nível de prioridade ao revisor. Os relatórios obtidos pelo 404 são de mais de seis anos e são exemplos dessas bandeiras — todos foram revisados e resolvidos naquele momento. Em alguns casos, essas sinalizações de funcionários acabaram não sendo problemas ou foram problemas que os funcionários encontraram em serviços de terceiros.”
404 Mídia escreve que, quando considerados individualmente, muitos casos afetaram apenas algumas pessoas ou foram resolvidos rapidamente. “No entanto, como um todo, o banco de dados interno mostra como uma das empresas mais poderosas e importantes do mundo gerencia, e muitas vezes administra mal, uma quantidade impressionante de dados pessoais e confidenciais sobre a vida das pessoas”, 404 Mídiaescreveu Joseph Cox.
Os exemplos incluem um possível problema de segurança em que um cliente governamental de um serviço de nuvem do Google teve seus dados confidenciais transferidos acidentalmente para um produto de consumo. O relatório interno do Google acrescentou que, como consequência, a localização dos dados nos EUA “não era mais garantida para este cliente”, de acordo com o relatório.
Em 2016, outro caso sinalizou uma falha no Google Street View, onde um filtro no software de transcrição do serviço projetado para omitir números de placas capturadas não funcionou. “Como resultado, nosso banco de dados de objetos detectados no Street View agora contém inadvertidamente um banco de dados de números de placas geolocalizadas e fragmentos de números de placas”, diz o relatório obtido por 404 Mídia detalhes. (Ops!) Esse relatório dizia que os dados foram eliminados.
Outro incidente destacou um caso em que um bug em um serviço de fala do Google capturou e registrou acidentalmente cerca de 1.000 horas de dados de fala de crianças durante cerca de uma hora. Esse relato de caso afirmou que a equipe excluiu todos os dados.
Outros casos no banco de dados vão desde “uma pessoa” modificando contas de clientes na plataforma de anúncios do Google para manipular códigos de rastreamento de afiliados até o YouTube recomendando vídeos com base nos históricos de exibição excluídos dos usuários. Um relatório ainda destaca como um funcionário do Google (involuntariamente, de acordo com o relatório) acessou os vídeos privados da Nintendo no YouTube e vazou informações antes dos anúncios da empresa de videogames.
O relatório completo de 404 Mídiaque detalha mais os relatórios internos, vale a pena ler para qualquer pessoa curiosa sobre os tipos de incidentes de privacidade e segurança que uma empresa da magnitude do Google enfrenta – ou causa a si mesma – e como ela os aborda.
