Segundo uma cópia de um relatório interno obtido pelo 404 Media, o Google acidentalmente coletou dados de voz de crianças, vazou informações de viagens e endereços residenciais de usuários de caronas, e fez recomendações no YouTube baseadas em históricos de exibição já excluídos, entre outros incidentes de privacidade.
O banco de dados em questão rastreou, durante seis anos, possíveis problemas relacionados à privacidade e segurança da gigante das buscas. O portal 404 Media obteve as informações de um informante anônimo, mas verificou sua veracidade, com o próprio Google confirmando aspectos do conteúdo. A maioria dos incidentes não foi divulgada, pois impactaram poucas pessoas ou foram rapidamente resolvidos. No entanto, no conjunto, muitos dados foram expostos, aponta o portal.
Vazamento de Dados de Usuários do Google
Os dados obtidos pelo portal coincidem com relatos de funcionários da empresa, incluindo problemas com produtos do Google, práticas de coleta de dados, vulnerabilidades em fornecedores terceirizados e erros cometidos por funcionários e prestadores de serviços. Entre os incidentes relatados, destacam-se:
- Um e-mail errado contendo informações de identificação pessoal e vazamentos significativos de dados;
- Dados de geolocalização e endereços IP de usuários da Socratic.org, uma empresa do Google, expostos na página-fonte do site;
- Registros de áudio de crianças coletados acidentalmente por um serviço de fala do Google;
- A transição acidental de um cliente governamental para um produto voltado ao consumidor comum no Google Cloud, comprometendo a segurança dos dados.
Exemplos Específicos
Em 2016, foi relatado que os sistemas do Street View estavam transcrevendo e armazenando números de placas de veículos. Um funcionário do Google explicou que o sistema deveria evitar imagens identificadas como placas, mas não o fez, resultando na criação de um banco de dados inadvertido de números de placas geolocalizadas.
Outro incidente envolveu a exposição pública de endereços de e-mail de mais de um milhão de usuários da Socratic.org, incluindo crianças. O relatório indicou que os dados foram expostos por mais de um ano antes de serem resolvidos.
Respostas e Resoluções
O Google afirmou que todos os incidentes relatados no banco de dados foram revisados e resolvidos na época, alguns não se revelando problemas significativos ou envolvendo serviços de terceiros. Em comunicado, a empresa explicou que seus funcionários podem rapidamente sinalizar possíveis problemas de produtos para revisão, e que as bandeiras levantadas no relatório são exemplos de sinalizações que foram tratadas.
Incidentes de Alta Prioridade
Outros incidentes notáveis e de alta prioridade incluíram:
- Filtros inadequados que permitiram a coleta de vozes infantis;
- Manipulação de contas de clientes no AdWords para alterar códigos de rastreamento de afiliados;
- Alertas de invasão ao escritório do Google em Jacarta em abril de 2017;
- Vazamento de informações de viagens e endereços residenciais no recurso de carona do Waze;
- Acesso não autorizado de um funcionário do Google a vídeos privados na conta da Nintendo no YouTube;
- Comprometimento do agente de viagens Sabre, expondo informações de pagamento dos funcionários do Google;
- Erros no teclado do Android que resultaram na gravação de áudio de crianças;
- Recomendações no YouTube baseadas em vídeos excluídos do histórico de exibição dos usuários;
- Exposição de versões sem censura de fotos no YouTube;
- Tratamento incorreto de arquivos no Google Drive ou Docs como públicos em vez de restritos.
O Google reafirmou que todos os problemas sinalizados foram revisados e resolvidos, com muitos dos incidentes não se confirmando como problemas significativos.