חוקר אבטחה הצליח לאסוף מידע על סמך 35 מיליון פרופילים של משתמשי גוגל

חוקר האבטחה מתיס אר. קוט הצליח להקים מסד נתונים בודד שכולל פרטים אישיים שמבוססים על מידע מ-35 מיליון פרופילים של משתמשי גוגל (Google) – ובכלל זה הודעות בשירות טוויטר (Twitter), שמות אמיתיים וכתובות דואר אלקטרוני.

קוט, חוקר שמתמחה בפרטיות ואנונימיות מאוניברסיטת אמסטרדם, מצא שבשל אופיים של הפרופילים שמציעה חברת גוגל – הם תוכננו במכוון להקל על שילוב המידע באינדקס – הוא יכול היה בקלות לשמור את המידע במסד נתוניםSQL . במשך חודש אחזר קוט את המידע, "המיר אותו ל-SQL בעזרת הכלי Spidermonkey וקוד ג'אווה-סקריפט (Javascript)" ושמר אותו במסד הנתונים, על פי הודעה שפרסם קוט בבלוג.

מסד הנתונים כולל את הפרטים שהזינו המשתמשים לפרופיל – כלומר, שמות אמיתיים, דיונים בטוויטר, כינויים, ניסיון בעבודה, השכלה וקישורים לתמונות בשירות פיקאסה. 15 מיליון מבין הפרופילים כוללים גם שמות משתמש, שהם זהים למעשה לכתובת הדואר בשירות ג'י-מייל (Gmail). שמירת המידע, ציין קוט, התאפשרה ללא שום אמצעי אבטחה מצד גוגל, דוגמת האטה בקצב התקשורת, חסימה, דרישה לשימוש במנגנוני CAPTCHA או אמצעי אבטחה אחרים.

גורמים פחות מהימנים יכולים, כמובן, לעשות שימוש בשיטה דומה לזו שנקט קוט כדי לבצע מתקפות של הנדסה חברתית או שיווק בדואר אלקטרוני. כך ניתן לאסוף כמויות עתק של מידע אישי שיכול לשמש למתקפות פישינג או מתקפות ממוקדות. איסוף מידע בשיטות כאלה אינו חדש, אך דומה כי מעולם לא היה קל כל כך לאסוף מידע רב כל כך על אנשים רבים כל כך.

מסקר שנערך לא מכבר ברחבי העולם עולה כי גולשי האינטרנט מצפים שפרטיותם תישמר. הפרויקט של קוט מוכיח, כי המציאות בפועל שונה. קוט ציין, כי המטרה שלו היא "לעורר דיון ציבורי בנושא השמירה על הפרטיות – עד כמה ניתן לתת אמון ומה משמעותה של 'ההסכמה המושכלת' – כלומר, הבעת ההסכמה באמצעות סימון התיבה המיועדת לכך כאשר נרשמים לשירות הפרופילים של גוגל".

הפרויקט של קוט מזכיר מאוד פרויקט דומה שערך בחודש יולי 2010 רון בואוס, חוקר אבטחה ומפתח מחברת Tenable Network Security. הפרויקט של בואוס נערך ברשת פייסבוק (Facebook) ובמסגרתו אוחזר מידע על 171 מיליון משתמשים.