Wścibski Google
Już teraz wiele osób uważa, że Google wie o nas zbyt dużo, ale wkrótce może wiedzieć jeszcze więcej. Niedługo firma wprowadzi nową usługę Google Health, pozwalającą użytkownik zbierać w jednym miejscu informacje o swoim zdrowiu i udostępniać je innym. Tym sposobem wręcz dolewa oliwy do ognia i ponownie wywołuje wiele kontrowersji oraz obaw o zagrażanie prywatności użytkowników. Pytanie brzmi, czy możemy zaufać Google? Czy nie wykorzysta zebranych informacji przeciwko nam? Pojawiają się głosy, że Google jest wrogiem prywatności i prowadzi największą akcję wywiadowczą na świecie.
08.04.2008 | aktual.: 08.04.2008 14:42
Google kojarzy się z wyszukiwarką, z pocztą elektroniczną, nieco rzadziej z aplikacjami webowymi. Tymczasem firma chce też dbać o nasze zdrowie i przygotowuje nową usługę - Google Health. Ma to być centralne repozytorium, w którym internauci będą mogli przechowywać wszelkie informacje związane ze swoim zdrowiem. Informacje zebrane z różnych placówek medycznych będą następnie dostępne dla lekarzy, a także samych pacjentów. Profil użytkownika będzie zawierać listę używanych leków, wyniki testów, alergie, przebyte choroby i operacje. Znajdą się w nim również wpisy o lekarzach opiekujących się pacjentem. Na razie usługa jest testowana w Cleveland Clinic. Google zapowiada, że będzie publicznie dostępna w nadchodzących miesiącach.
Google Health ma ułatwiać dostęp do danych pacjentów, niezależnie od tego, gdzie się leczą. Pacjent nie będzie musiał przewozić dokumentacji z jednego szpitala, do drugiego. Zamiast tego lekarz odczyta potrzebne informacje z Google Health. Firma pracuje nad cały wachlarzem usług, które będą dostępne poprzez Google Health. Obecnie dostępne funkcje pozwalają na prosty import danych do profilu użytkownika. W przyszłości pozwoli pacjentom rezerwować wizyty czy zamawiać recepty.
Z badań wynika, że ponad połowa dorosłych użytkowników Internetu korzysta z wyszukiwarki w celu dotarcia do informacji dotyczących zdrowia. Jednak Google zdaje sobie sprawę, że użytkownicy będą dużo bardziej nieufni w stosunku do przechowywania swoich osobistych informacji na internetowych serwerach niż do korzystania z wyszukiwarki. Dlatego uspokaja, że zebrane dane będą udostępniane lub odsprzedawane dopiero, gdy zgodzi się na to pacjent. Polityka ochrony prywatności została opracowana we współpracy z zespołem Google Health Advisory Council, składającym się ze specjalistów z branży medycznej.
Uwaga na hasła!Obawy budzą też kwestie bezpieczeństwa. Konsekwencje masowej kradzieży dokumentacji medycznej w efekcie wykrycia w Google Health luki przez cyberprzestępców są trudne do przewidzenia, ale na pewno będą poważne. Istotne jest też zapewnienie użytkownikom bezpiecznego dostępu do serwisu. Przykładowo, Google powinien wymagać używania innej nazwy użytkownika i hasła, niż do pozostałych swoich serwisów. W tej chwili mając jedną nazwę użytkownika i hasło można korzystać z wielu usług. W efekcie kradzież hasła do jednej z usług, np. konta Gmail, daje dostęp do pozostałych ( Google Apps, Search History, Google Checkout ), z których użytkownik korzysta.
Na początku marca głośno zrobiło się wokół programu G-Archiver, służącego do tworzenia kopii wiadomości z konta Gmail na lokalnym dysku twardym. Okazało się, że program służy także do zbierania haseł użytkowników. Żeby z niego skorzystać, należy podać swoją nazwę użytkownika i hasło konta Gmail, które następnie zostają przesłane przez program do jego autora. Z oficjalnego oświadczenie producenta programu wynika, że ta funkcjonalność została potajemnie wprowadzona przez jednego z programistów.Microsoft też chce leczyć
Google nie jest jedyną firmą, która chce rozwiązać problem uporządkowania informacji o naszym zdrowiu. Microsoft uruchomił w zeszłym roku internetowy serwis HealthVault - http://www.healthvault.com, umożliwiający użytkownikom przechowywanie i udostępnianie swojej kartoteki medycznej. Użytkownicy mogą wczytywać dane z urządzeń takich, jak monitor serca czy miernik poziomu cukru. Serwisy tego typu mają służyć poprawieniu opieki zdrowotnej, ale zarówno Google i Microsoft widzą w nich także potencjał reklamowy czy usług wiązanych.
Przejęcie DoubleClicka
Sprawa przejęcia firmy DoubleClick przez Google ciągnie się już od połowy zeszłego roku, ale wkrótce ma szanse zostać sfinalizowana. Jeśli do tego dojdzie, Google wejdzie w posiadanie największego zbioru informacji o historii odwiedzanych stron. Jednocześnie jest tylko kilka prawnych ograniczeń dotyczących wykorzystania tych danych czy udostępniania innym zainteresowanym. Dlatego organizacja Electronic Privacy Information Center wystąpiła ze skargą do amerykańskiej komisji FTC ( Federal Trade Commission ), co na parę miesięcy zablokowało finalizację transakcji. W końcu w grudniu 2007 po wnikliwej analizie komisja FTC wydała zgodę na sfinalizowanie transakcji. Bardzo prawdopodobne, że Komisja Europejska również zaakceptuje plany Google. Ostateczna decyzja ma zapaść już na początku kwietnia. Na stronie Google FAQ firma wyraźnie podkreśla, że przejęcie DoubleClicka nie ma nic wspólnego z zamachem na prywatność użytkowników, a nawet ma ją poprawić, bo Google będzie nadal przestrzegać preferencji użytkowników co
do ochrony ich prywatności.
Archiwum wyszukiwania
Google zbiera dane, które w wielu przypadkach pozwalają ustalić, kto czego szukał w sieci. Za każdym razem, gdy korzystasz z wyszukiwarki, zostają odnotowane m.in. twój adres IP, wpisane słowa kluczowe oraz data i godzina odwiedzin. Ponieważ identyfikacja użytkownika na podstawie adresu IP nie zawsze jest możliwa, Google zapisuje jeszcze w komputerze plik cookie zawierający unikalny kod, który pozwala na identyfikację, nawet jeśli zmienił się adres IP. Kod również jest zapisywany na serwerze w przypadku korzystania z wyszukiwarki. Z wykorzystaniem powszechnie dostępnych narzędzi można ustalić w przybliżeniu geograficzną lokalizację komputera na podstawie adresu IP. W poważniejszych sprawach da się nawet zidentyfikować osobę, która z niego korzystała. Jednak jest to możliwe dopiero we współpracy z firmami oferującymi dostęp do Internetu, które mają umowy ze swoimi klientami.
Google musi stosować się do nakazów sądowych oraz w sprawach karnych i cywilnych dostarczać żądane informacje o wynikach wyszukiwania. Dotychczas Google przechowywał te dane przez 24 miesiące, ale teraz skraca ten czas do 18 miesięcy. Jeśli jednak przepisy tego wymagają, Google będzie przechowywać określone dane dłużej. Mówiąc dokładniej, po upływie określonego czasu dane nadal są przechowywane, ale adresy IP i kody z plików cookies są zmieniane w taki sposób, żeby zapewnić anonimowość użytkowników. Prawdopodobnie będą zastępowane losowo wygenerowanymi danymi, choć nie podjęto jeszcze ostatecznej decyzji. Dotychczas w przypadku adresów IP usuwano ostatnie osiem bitów, czyli ostatnią liczbę adresu, np. 117.116.115.xxx. Wyszukiwarkowy gigant podchodzi do sprawy poważnie i zapowiada, że modyfikowane będą nawet kopie zapasowe danych przechowywane na taśmach.
Czy faktycznie usunięcie oryginalnego adresu IP i kodu z pliku cookie wystarczy, żeby zapewnić anonimowość? Analiza zapytań wpisywanych w wyszukiwarce przynosi zaskakujące wyniki. Koncern AOL kilka lat temu udostępnił naukowcom kilkaset tysięcy rekordów ze swojej wyszukiwarki, zmieniając jedynie oryginalne adresy IP. Prosta analiza - sprawdzano, jakie słowa kluczowe wpisywano z danego adresu IP - dostarczyła bardzo ciekawych informacji. Ponieważ użytkownicy mają skłonność do regularnego wpisywania w wyszukiwarce swojego imienia i nazwiska, dało się łatwo ustalić, kto czym się interesował. Reporterom z New York Timesa udało się na podstawie tych danych odszukać jedną z osób, Thelmę Arnold, która potwierdziła, że to właśnie ona korzystała z wyszukiwarki AOL. Było to możliwe z wykorzystaniem stosunkowo niewielkiej ilości danych. Mając pełen dostęp do baz danych Google można zrobić dużo więcej.
Dlatego eksperci wypowiadają się w podobnym tonie: skrócenie czasu przechowywania danych to krok w dobrym kierunku, ale wciąż pozostaje wiele do zrobienia. Richard M. Smith, konsultant od bezpieczeństwa i prywatności w Internecie z Boston Software Forensics, uważa, że Google w ogóle nie powinien rejestrować na swoich serwerach adresów IP i kodów z plików cookie: "Google nie powinien być szpiegiem. Rejestrowanie adresów IP i słów wpisywanych w wyszukiwarce to największa operacja wywiadowcza na świecie." Łagodniej wypowiada się Ari Schwartz z Center for Democracy and Technology: "To pierwszy raz, gdy obserwujemy działania mające pogodzić konflikt między chronieniem prywatności użytkowników a zbieraniem wszystkich informacji na świecie."Pliki poza kontroląAplikacje działające w przeglądarce, jak Google Docs, Spreadsheets czy Calendar zapisują dokumenty na serwerze internetowym. Prace nad rozwiązaniami, które pozwolą przeglądarce WWW na większy dostęp do dysku twardego i zapisywanie dokumentów lokalnie,
dopiero trwają. Na razie jednak pliki zapisane na serwerze są wystawiane na różne niebezpieczeństwa. Poważnym zagrożeniem są hakerzy, którzy mogą próbować włamać się na twoje konto Google za pomocą spreparowanych dokumentów czy innych nielegalnych metod. Wystarczy, że zdobędą hasło do jednego z używanych przez ciebie serwisów Google, a będą mieli dostęp do pozostałych. Nie ma też pewności, jak sam Google wykorzysta zebrane dokumenty. Wprawdzie firma dotychczas konsekwentnie deklarowała ochronę prywatności użytkownika, ale nie wiadomo, co przyniesie przyszłość.
Wróg prywatności
Choć Google dużo mówi o swojej polityce ochrony prywatności ( znane hasło "Don't be evil" ) i ma ogólnie dość dobrą opinię, pojawią się również całkiem odmienne głosy. W zeszłym roku organizacja Privacy International ( www.privacyinternational.org - http://www.privacyinternational.org ) opublikowała raport dotyczący ochrony prywatności przez 20 największych firm działających w Internecie, m.in. AOL, Myspace, Facebook, eBay i Microsoft. Wynika z niego, że Google ma najgorszą politykę prywatności wśród testowanych firm i został określony mianem wroga prywatności. Z pełnymi wynikami raportu można się zapoznać po pobraniu pliku PDF - http://www.privacyinternational.org/issues/internet/interimrankings.pdf.
Raport powstawał przez sześć miesięcy i miał pokazać, jak firmy obchodzą się danymi swoich użytkowników. Żadna z 20 firm nie uzyskała miana przyjaznej dla użytkowników. Yahoo i AOL otrzymały metkę "istotnego zagrożenia". Nieco lepiej wypadł Microsoft, którego politykę prywatność oceniono jako "zawierającą istotne uchybienia". Ocenę o jeden stopień wyższą otrzymał m.in. serwis BBC, który może pochwalić się polityką prywatność "zgodną z oczekiwaniami, ale wymagającą poprawek". Google wylądował na końcu rankingu za, jak to określono, "liczne niedoskonałości i zagrożenia". Firma zbiera ogromne ilości informacji o użytkownikach, a jednocześnie polityka prywatności jest niekompletna, a skargi są niezbyt sprawnie rozpatrywane. Przedstawiciele Google wypowiadali się krytycznie o raporcie, argumentując, że zawiera wiele nieścisłości. Z kolei przedstawiciele Privacy International poinformowali, że koncern próbował zdyskredytować wyniki raportu i oczernić organizację. Przedstawiciele internetowego giganta mieli
skontaktować się w tej sprawie z kilkoma dziennikarzami i sugerować im, że wyniki raportu zmodyfikowano tak, by wybielał on Microsoft i oczerniał Google ( dowodem ma być fakt, że jeden z członków Rady Ekspertów PI jest pracownikiem Microsoftu ). Przedstawiciele organizacji przypomnieli jednak, iż w przeszłości wielokrotnie ścierała się ona z koncernem z Redmond i w związku z tym o żadnej współpracy nie może być mowy.