Google recopiló datos de voz de niños, filtró viajes y direcciones particulares de usuarios de vehículos compartidos y realizó recomendaciones de YouTube basadas en el historial de visualización eliminado de los usuarios, entre miles de otros incidentes de privacidad reportados por empleados, según una copia de un informe interno de Google. base de datos que rastrea seis años de posibles problemas de privacidad y seguridad obtenidos por 404 Media.
Individualmente, es posible que los incidentes, la mayoría de los cuales no se han informado públicamente previamente, solo afecten a un número relativamente pequeño de personas, o se solucionaron rápidamente. Sin embargo, en su conjunto, la base de datos interna muestra cómo una de las empresas más poderosas e importantes del mundo gestiona, y a menudo gestiona mal, una asombrosa cantidad de datos personales y sensibles sobre la vida de las personas.
La filtración obtenida por el sitio especializado en tecnología 404 Media incluyen problemas de privacidad y seguridad que los propios empleados de Google informaron internamente. Estos incluyen problemas con los propios productos o prácticas de recopilación de datos de Google; vulnerabilidades en proveedores externos que utiliza Google; o errores cometidos por el personal, los contratistas u otras personas de Google que hayan impactado los sistemas o datos de Google. Los incidentes incluyen de todo, desde un único correo electrónico erróneo que contiene información personal privada, pasando por filtraciones sustanciales de datos, hasta redadas inminentes en las oficinas de Google. Al informar un incidente, los empleados le dan al incidente una calificación de prioridad, siendo P0 la más alta y P1 un paso por debajo. La base de datos contiene miles de informes a lo largo de seis años, de 2013 a 2018.
En un caso de 2016, un empleado de Google informó que los sistemas de Google Street View estaban transcribiendo y almacenando números de matrículas a partir de fotografías. Explicaron que Google utiliza un algoritmo para detectar texto en las imágenes de Street View. “Desafortunadamente, el contenido de las matrículas también es texto y, al parecer, en muchos casos ha sido transcrito”, escribió el empleado. “Como resultado, nuestra base de datos de objetos detectados desde Street View ahora contiene inadvertidamente una base de datos de números de matrícula geolocalizados y fragmentos de números de matrícula”.
“Quiero enfatizar que esto fue un accidente. El sistema que transcribe estos fragmentos de texto debería haber evitado las imágenes identificadas por nuestros detectores de matrículas pero, por razones aún desconocidas, no lo hizo”, agregaron. El informe dice que los datos han sido eliminados.
Otro incidente implicó la exposición pública de más de un millón de direcciones de correo electrónico de usuarios de Socratic.org, una empresa que adquirió Google. Los datos se podían ver en la página fuente del sitio web de la empresa, según el informe. También se sospechaba que estaban disponibles información de geolocalización y direcciones IP de los usuarios. Entre los afectados se encontraban niños. “Esta exposición se ha abordado como parte de las condiciones de cierre de esta adquisición. Sin embargo, los datos estuvieron expuestos durante más de 1 año y ya podrían haber sido recopilados”, se lee en el informe.
En un tercero, un servicio de voz de Google registró todo el audio, incluidos los datos del habla de aproximadamente 1.000 niños, durante aproximadamente una hora. “Se recogieron aproximadamente 1.000 expresiones de habla infantil. El equipo eliminó todos los datos de voz registrados del período de tiempo afectado”, se lee en el informe.
En otro incidente, un cliente del producto en la nube de Google, que es para clientes gubernamentales que necesitan proteger datos confidenciales, pasó inadvertidamente a un producto a nivel de consumidor. “Como resultado de una migración accidental de SKU a G Suite for Business, la ubicación de datos en EE. UU. ya no está garantizada para este cliente”, dice el informe.
En algunos casos, los propios informes dicen que el problema se ha solucionado. Después de que 404 Media compartiera los códigos de identificación de alrededor de 30 incidentes con Google, la compañía dijo que cada uno de ellos se resolvió en su momento.
Algunos otros incidentes marcados con alta prioridad o que son notables en la base de datos incluyen:
- Un filtro que supuestamente impediría que se recopilaran las voces de los niños no se aplicó correctamente.
- Una persona modificó las cuentas de los clientes en AdWords, como se llamaba la plataforma publicitaria de Google en ese momento, para manipular los códigos de seguimiento de afiliados en los anuncios.
- El equipo de seguridad global advirtió que esperaba un allanamiento temprano en una oficina de Google en Yakarta en abril de 2017 (un incidente similar ocurrió en septiembre de 2016 ).
- La función de Waze Carpool filtró los viajes y direcciones de casa de otros usuarios.
- Un empleado de Google accedió a vídeos privados en la cuenta de YouTube de Nintendo y filtró información antes de los anuncios previstos por Ninendo. Una entrevista interna concluyó que la actividad fue “no intencional”, dice el informe.
- Sabre, una agencia de viajes que utiliza Google, se vio comprometida y la información de pago de los empleados de Google quedó expuesta.
- Una peculiaridad en el teclado de Android significó que los niños presionaran el botón del micrófono, lo que provocó que Google registrara el audio de los niños como parte del lanzamiento de la aplicación YouTube Kids.
- YouTube hizo recomendaciones basadas en videos que los usuarios habían eliminado de su historial de reproducciones, lo que iba en contra de la propia política de YouTube.
- Una función de desenfoque de YouTube exponía versiones sin censura de imágenes.
- Cuando los usuarios de iOS de Google Drive o Docs configuran controles de acceso a un archivo como “Cualquier persona con el enlace”, Google en realidad lo trata como un enlace “Público”.
- Los vídeos de YouTube subidos como no listados o privados podrían aparecer disponibles públicamente durante un breve periodo de tiempo.
404 Media obtuvo el gran conjunto de datos de un informante anónimo que no proporcionó su nombre o identidad real. 404 Media luego verificó la veracidad del conjunto de datos; Google también confirmó aspectos de sus contenidos.
Con información de 404media.co
