Google logo
Tudo sobre Google
ver mais

Segundo cópia de relatório interno do banco de dados do Google obtido pelo 404 Media, a empresa, acidentalmente, coletou dados de voz de crianças, vazou viagens e endereços residenciais de usuários de caronas, fez recomendações no YouTube baseado no histórico de exibição de usuários já excluídos, entre diversos outros incidentes relacionados à privacidade.

Esse banco de dados foi responsável pelo rastreamento, durante seis anos, de possíveis problemas relacionados à privacidade e segurança da gigante das buscas. O portal enfatizou ter recebido as informações de informante anônimo, mas que verificou sua veracidade, tendo, inclusive, o próprio Google confirmado aspectos de seu conteúdo.

publicidade

Leia mais:

A maioria dos incidentes não foi divulgado. Individualmente, impactaram poucas pessoas, ou foram rapidamente resolvidos. Contudo, no todo, veem-se muitos dados vazados, aponta o portal.

publicidade

google
Empresa vazou diversos dados de usuários (Imagem: Tada Images/Shutterstock)

Vazamento de dados de usuários do Google

  • Os dados obtidos pelo portal batem com relatos de funcionários da empresa, incluindo;
    • Problemas com os próprios produtos ou práticas de coleta de dados do Google;
    • Vulnerabilidades em fornecedores terceirizados que o Google usa;
    • Erros cometidos por funcionários, prestadores de serviços ou outras pessoas do Google que tenham afetado os sistemas ou dados da empresa;
  • Entre os incidentes citados, existe um e-mail errado com informações de identificação pessoal e vazamentos significativos de dados;
  • Ainda, o 404 Media diz ter dados de ataques iminentes aos escritórios da gigante das buscas;
  • Os dados reunidos no banco foram relatados entre 2013 e 2018;
  • Cada um deles recebe uma classificação de prioridade, sendo P0 a mais alta e P1 logo a seguir.

Por exemplo, em 2016, foi relatado que os sistemas do Street View estariam transcrevendo e armazenando números de placas de fotos. Foi explicado que a empresa usa algoritmo para detectar texto nas imagens da ferramenta:

publicidade

Infelizmente, o conteúdo das placas também é texto e, aparentemente, foi transcrito em muitos casos. Como resultado, nosso banco de dados de objetos detectados no Street View, agora, contém, inadvertidamente, um banco de dados de números de placas geolocalizadas e fragmentos de números de placas.

Funcionário do Google

“Quero enfatizar que foi um acidente. O sistema que transcreve esses trechos de texto deveria evitar as imagens identificadas pelos nossos detectores de placas, mas, por motivos ainda desconhecidos, não o fez”, acrescentou o funcionário. O relatório alega que os dados foram eliminados.

Um segundo exemplo aponta a exposição pública de endereços de e-mail de mais de um milhão de usuários da Socratic.org, empresa detida pelo Google. De acordo com o relatório, os dados podiam ser visualizados na página-fonte do site da companhia.

publicidade

Ainda havia a suspeita de que informações de geolocalização e endereços IP dos usuários pudessem estar disponíveis. Entre os afetados, estariam crianças. “Essa exposição foi abordada como parte das condições de fechamento desta aquisição. No entanto, os dados foram expostos por mais de um ano e já poderiam ter sido colhidos”, consta no relatório.

privacidade no google
Contudo, maioria dos casos já teria sido resolvida (Imagem: Divulgação/Google)

Outro incidente indica que um serviço de fala do Google registrou todo o áudio de crianças (cerca de mil dados), durante cerca de uma hora. No relatório, há a informação de que “estimativas de mil declarações de fala infantil foram coletadas. A equipe excluiu todos os dados de fala registrados do período afetado”.

Houve outro relacionado ao Cloud, no qual um cliente do serviço, destinado a clientes governamentais que dependem de proteção de dados confidenciais, acabou realizando a transição inadvertida para um produto voltado ao consumidor comum. “Como resultado de uma migração acidental de SKU para o G Suite for Business, a localização dos dados nos EUA não é mais garantida para este cliente”, informa o relatório.

Há casos no qual o próprio relatório indica que eles foram resolvidos. Contudo, a 404 Media diz que, após compartilhar os códigos de identificação de cerca de 30 incidentes desses, o Google afirmou que cada um deles já tinha sido resolvido.

Confira, a seguir, outros incidentes marcados com alta prioridade, ou que são dignos de nota:

  • Um filtro que deveria impedir a coleta de vozes infantis não foi aplicado corretamente;
  • Uma pessoa modificou contas de clientes no AdWords (antigo nome da plataforma de anúncios do Google) para manipular códigos de rastreamento de afiliados em anúncios;
  • A equipe de segurança global alertou que esperava invasão ao escritório do Google em Jacarta (Indonésia) em abril de 2017;
  • O recurso de carona do Waze vazou viagens e endereços residenciais de outros usuários;
  • Um funcionário do Google acessou vídeos privados na conta da Nintendo no YouTube e vazou informações antes dos anúncios planejados pela empresa. Uma entrevista interna concluiu que a atividade não foi intencional, segundo o relatório;
  • O Sabre, agente de viagens usado pelo Google, foi comprometido e as informações de pagamento dos funcionários da gigante das buscas foram expostas;
  • Uma peculiaridade no teclado do Android fazia com que as crianças pressionassem o botão do microfone, fazendo com que o Google registrasse o áudio dos pequenos como parte do lançamento do YouTube Kids;
  • O YouTube fez recomendações com base em vídeos que os usuários excluíram de seu histórico de exibição, o que ia contra a própria política do site;
  • Um recurso de desfoque do YouTube expôs versões de fotos sem censura;
  • Quando os usuários iOS do Drive ou Docs definem os controles de acesso em um arquivo como “Qualquer pessoa com o link”, o Google, na verdade, o trata como um link “Público”;
  • Os vídeos do YouTube enviados como não listados ou privados podem aparecer publicamente disponíveis por curto período.

Um dos exemplos indica que o YouTube segue sugerindo vídeos com base em buscas já excluídas pelo usuário (Imagem: Eyestetix Studio/Unsplash)

Em comunicado enviado à 404 Media, o Google explicou o seguinte sobre o assunto:

No Google, os funcionários podem sinalizar rapidamente possíveis problemas de produtos para revisão pelas equipes relevantes. Quando um funcionário envia o sinalizador, ele sugere o nível de prioridade ao revisor. Os relatórios obtidos pelo 404 são de mais de seis anos atrás e são exemplos dessas bandeiras – todos foram revisados ​​e resolvidos naquele momento. Em alguns casos, essas sinalizações de funcionários acabaram não sendo problemas ou foram problemas que os funcionários encontraram em serviços de terceiros.

Google, em nota enviada ao 404 Media

Ao Olhar Digital, a assessoria de imprensa do Google no Brasil enviou posicionamento semelhante ao recebido pelo 404 Media:

No Google, os funcionários podem rapidamente sinalizar possíveis problemas em nossos produtos para revisão das equipes. Quando um funcionário envia uma sinalização, ele sugere o nível de prioridade ao revisor. Os relatórios obtidos pela 404 possuem mais de seis anos e são exemplos dessas sinalizações. Cada uma delas foi revisada e resolvida na época. Em alguns casos, essas sinalizações feitas por funcionários não eram problemas de fato ou eram problemas que os funcionários encontraram em serviços de terceiros.

Assessoria de imprensa do Google no Brasil, em nota enviada ao Olhar Digital