WiFi-dataindsamling: opdatering
5/14/2010 01:44:00 PM
Opdateret 9. juni 2010: Da vi for tre uger siden meddelte, at vi fejlagtigt havde inkluderet kode i vores software, der indsamler prøver på payload-data fra WiFi-netværk, skrev vi, at vi ville bede en tredjepart om at gennemgå den pågældende software med henblik på at finde ud af, hvordan den virkede, og hvilke data den indsamlede. Denne undersøgelse, der er udført af sikkerhedskonsulentfirmaet Stroz Friedberg, er nu tilendebragt, og en rapport er i dag blevet sendt til de relevante databeskyttelsesmyndigheder. Kort fortalt bekræfter rapporten, at Google rent faktisk indsamlede og lagrede payload-data fra ukrypterede WiFi-netværk, men ikke fra krypterede netværk. Du kan læse rapporten her. Vi samarbejder fortsat med de relevante myndigheder og er til rådighed for besvarelse af spørgsmål og håndtering af problemstillinger. Opdatering 17. maj 2010:
Fredag den 14. maj bad de irske databeskyttelsesmyndigheder os om at slette de payload-data, vi fejlagtigt havde indsamlet i Irland. Vi kan bekræfte, at alle data, der er blevet identificeret som værende fra Irland, er blevet slettet i løbet af weekenden under tilstedeværelse af en uvildig tredjepart. Vi henvender os nu til databeskyttelsesmyndigheder i de andre berørte lande for at finde ud af, hvordan vi hurtigst muligt kan få slettet de resterende data.
Du kan læse dokumentet fra den uvildige tredjepart, hvori sletningen bekræftes , her. [Original post]
For ni dage siden bad databeskyttelsesmyndighederne i Hamburg (Tyskland) om at få lov til at gennemgå de WiFi-data, som vores Street View-biler indsamler til anvendelse i location-baserede produkter som f.eks. Google Maps for mobile, hvormed brugerne kan finde lokale restauranter og få retningsanvisninger. Denne anmodning fik os til at foretage en fornyet gennemgang af alle de data, vi havde indsamlet, og under denne gennemgang opdagede vi, at en meddelelse i en blog-post dateret 27. april var forkert.I den pågældende blog-post og et teknisk notat, der samme dag blev sendt til databeskyttelsesmyndighederne, skrev vi, at Google ganske rigtigt indsamler offentligt udsendte SSID-informationer (WiFi's netværksnavn) og MAC-adresser (det unikke tal, der tildeles en anordning som f.eks. en WiFi-router) ved hjælp af Street View-biler, men at vi ikke indsamler payload-data (informationer, der sendes over netværket). Imidlertid står det nu klart, at vi fejlagtigt har indsamlet prøver på payload-data fra åbne (dvs. ikke-passwordbeskyttede) WiFi-netværk, selv om vi aldrig har anvendt sådanne data i noget som helst Google-produkt.Vi har dog typisk kun indsamlet fragmenter af payload-data, dels fordi vores biler er i konstant bevægelse, dels fordi en bruger ville skulle være på netværket i det øjeblik, bilen kører forbi, og endelig fordi bilernes indbyggede WiFi-udstyr automatisk skifter kanal ca. fem gange i sekundet. Derudover har vi ikke indsamlet data, der blev sendt over sikre, passwordbeskyttede WiFi-netværk.Så hvordan kunne dette ske? Svaret er ganske enkelt: ved en fejltagelse. I 2006 skrev en ingeniør, der arbejdede på et WiFi-forsøgsprojekt, et stykke kode, der opsamlede alle former for offentligt udsendte WiFi-data. Da vores mobilteam et år senere startede et projekt med indsamling af grundlæggende WiFi-netværksdata som SSID-informationer og MAC-adresser ved hjælp af Googles Street View-biler, inkluderede de den kode i deres software, selv om projektlederne ikke ønskede – og ikke havde nogen intention om at anvende – payload-data.Så snart vi blev opmærksomme på dette problem, standsede vi vores Street View-biler og isolerede disse data på vores netværk, som vi derefter afbrød, således at det ikke længere var tilgængeligt. Vi ønsker at slette disse data så snart som muligt og henvender os i øjeblikket til myndighederne i de pågældende lande for at finde ud af, hvordan dette kan ske hurtigt.Fastholdelse af folks tillid er af altafgørende betydning for os, og vi har ganske enkelt svigtet i dette tilfælde. Derfor vil vi :
Som følge af de opståede problemer har vi desuden besluttet, at det er bedst helt at ophøre med at indsamle netværksdata ved hjælp af Street View-biler.Denne hændelse understreger, hvor let tilgængelige åbne, ikke-passwordbeskyttede WiFi-netværk er i dag. Tidligere på året krypterede vi Gmail til alle vores brugere, og fra næste uge kan vi tilbyde vores kunder en krypteret udgave af Google Search. Brugerne kan selv tjekke, om andre tjenester er krypterede, ved at se, om URL'en begynder med “https” og ikke bare “http”. Browsere viser normalt et låseikon, når forbindelsen er sikker. Du kan finde mere information om, hvordan du passwordbeskytter dine netværk, her.Ingeniørteamet hos Google gør sig store anstrengelser for at opnå din tillid, og vi er helt klar over, at vi har svigtet i dette tilfælde. Vi beklager dybt denne fejl og er fast besluttet på at lære af alle de erfaringer, vi har gjort os i den forbindelse.Indsendt af Alan Eustace, Senior VP, Engineering & Research