Problem z prywatnością w Kalendarzu Google otwarcie zlekceważony w Mountain View

Google nie ma ostatnio szczęścia do bezpieczeństwa swoichproduktów. Wpierw wykorzystanie rozszerzeń Chrome jako mechanizmurozprowadzania malware i spamu, potem kwestia potencjalnychpodsłuchów internautów przez interfejs sterowania głosem w tejprzeglądarce, a teraz znów głośno się robi o problemie zwyciekami danych w popularnym Kalendarzu Google. Błędy zdarzająsię każdemu, jednak bardziej niepokoi coś innego – nonszalanckiepodejście Mountain View do kwestii ochrony prywatnościużytkowników, zagrożonej wskutek tychże błędów. O tym, jak zareagowało Google na exploita pozwalającegowykorzystać Chrome do podsłuchu, pisaliśmywczoraj. Mimo że łatka na lukę odkrytą przez niezależnegoprogramistę gotowa była już od jesieni, do tej pory nie znalazłasię w stabilnej wersji przeglądarki, gdyż zespoły robocze wMountain View nie mogły się porozumieć w kwestii standardów,które należałoby uwzględnić przy implementacji. [img=prywatnosc]Teraz dzięki blogerowi Terence Edenowi Internet ponownie obiegawieść o problemie z Kalendarzem, o którym pierwszyraz wspominano już w marcu 2010 roku. Problem pozornie wydajesię trywialny i ostrożnemu użytkownikowi nie zagrozi, ale, cotrzeba podkreślić, Kalendarz nie jest usługą tylko dlakompetentnych technicznie power-userów. Korzystają z niegotakże zwykli użytkownicy,dla których całkiem intuicyjne wydaje się zrobienie tego, conarazić ich może na poważne konsekwencje w życiu osobistym czyzawodowym.Scenariusz, w którym pojawia sięten błąd projektowy, wygląda następująco: użytkownik wprowadzado Kalendarza zadanie, w którego tytule znajduje się adrese-mailowy (np. napisać wiadomość do szef@gmail.comw sprawie podwyżki wynagrodzenia),ustawiając jego termin na kilka miesięcy do przodu. W momenciedodania zadania, do Kalendarza użytkownika szef@gmail.com zostajedodane to zdarzenie, otrzyma on też przypomnienie o spotkaniu wwyskakującym okienku. Jeśli użytkownik zdecyduje się usunąćzadanie, to niechciany odbiorca otrzyma o tym powiadomienie e-mailem.[yt=http://www.youtube.com/watch?v=ZqjYb6eiMWE]Dzieje się tak dla wszystkichadresów Gmaila oraz niektórych adresów spoza Gmaila (nie chodzi tuo domeny hostowane w usłudze Google Apps – z tego co pisząinternauci, czasem powiadomienia przychodzą nawet na skrzynkiExchange, więc trudno powiedzieć, jakie są kryteria tej wysyłki).Problem występuje tylko w wypadku wykorzystania interfejsu webowegoKalendarza. Wpisanie takich adresów w tytule przez klientaKalendarza na Androida nie powoduje dodania wydarzenia do kalendarzaodbiorcy, to samo dzieje się z innymi aplikacjami, integrującymisię z Kalendarzem Google (autor tej notki sprawdził to dla KDEOrganizera).Trudno powiedzieć, czy tofaktycznie nieprzemyślany błąd, czy zamierzone działanie – byćmoże ktoś niezbyt rozumiejący naturę międzyludzkich interakcji wGoogle nie mógł zrozumieć, że to, że się o kimś mówi, nieoznacza, że się chce do niego to mówić. I chyba tak właśniebyło. Gdy bowiem Terence Eden zgłosił ten błąd do Google 6stycznia, to dwa tygodnie później otrzymał odpowiedź, w którejfirma informowała, że po rozważeniu zgłoszenia przez zespółbezpieczeństwa uznano, że wspomniany problem w minimalnym stopniuwpływa na bezpieczeństwo użytkowników.Faktycznie, nic nie szkodzi, żeniezamierzone osoby otrzymają dostęp do prywatnych zdarzeń zKalendarza i adresów e-mailowych. W końcu jak kilka lat temu mówiłówczesny CEO Google'a, Eric Schmidt, jeśli jest coś, co byśchciał zachować tylko dla siebie, to może w ogóle tego niepowinieneś robić?