A The Wall Street Journal hétfőn közölt összeállítást azzal a gyakorlattal kapcsolatban, ahogy a külső fejlesztők hozzáférést kérnek és kapnak a felhasználók Gmail-fiókjaihoz. Ezt azután rendesen ki is használják: a lap szerint maguk a cégek sem titkolják, hogy alkalmazottaik sok ezer elektronikus levelet dolgoznak fel olyan megfontolsokból, mint például a gépi tanuló rendszerek trenírozása.

A WSJ cikke arra figyelmeztetett, hogy az olyan email alapú szolgáltatások, mint mondjuk az árösszehasonlítók vagy az automatizált útvonaltervezők, üzemszerűen fésülhetik át a privát levelezést. Mindezt természetesen a felhasználók engedélyével teszik, hiszen az alkalmazások nem maguktól települnek az eszközökre – kérdés azonban, hogy az ilyen hozzáférések mely esetekben tekinthetők indokoltnak.

Pozitív hozzáállás biztosítékok nélkül

Világos ugyanis, hogy az olyan appok, mint az alternatív levelező kliensek vagy egyes CRM szoftverek, alapvető funkcionalitásukat veszítenék el a megfelelő jogosultságok hiányában. Az utóbbi időben kipattant ügyek – lásd a Facebook és a Cambridge Analytica esetét – viszont ráirányították a figyelmet arra is, hogy a hozzáférések minimum szükségtelenek, néha pedig kifejezetten rosszhiszeműek is lehetnek.

Ez a cikk független szerkesztőségi tartalom, mely a T-Systems Magyarország támogatásával készült. Részletek »

A Google hivatalos blogján már kedden megjelent az a bejegyzés, amelyben a vállalat cloud üzletágának biztonsági vezetője, Suzanne Frey igyekezett eloszlatni a felmerülő aggályokat. Ez annyiban sikerült is neki, hogy mindenki számára egyértelművé tette a rendszer elemi működését, ennél fontosabb azonban, hogy mire nem sikerült egyértelmű választ adnia. A poszt lényege slágvortokban:

• A Google automatizált módon dolgozza fel a leveleket, ami nem csak iparági gyakorlat, de az olyan biztonsági funkciók alapja, mint amilyen a 99,9 százalékos hatékonysággal működő spamszűrés.
• A tartalom automatikus feldolgozása (már) nem kapcsolódik a hirdetések kiszolgálásához, és a vállalat nem húz közvetlen hasznot a külső fejlesztőknek API-kon keresztül biztosított hozzáférésekből.
• Mindez azt jelenti, hogy a Google alkalmazottai semmilyen módon nem olvashatnak bele a személyes üzenetekbe.
• Kivéve, amikor mégis megteszik: ilyen speciális esetekre a felhasználók kérésére és hozzájárulásásával, vagy a biztonsági hibák, esetleg a rosszhiszemű felhasználás vizsgálatakor kerül sor.
• A hozzáférésre pályázó alkalmazásokat szigorú vizsgálatnak vetik alá: az appoknak egyrészt pontosan be kell mutatniuk saját működésüket (más szóval, nem térhet el egymástól a közölt és a valós identitásuk), másrészt egyértelművé kell tenniük, hogy milyen céllal, milyen adatokra van szükségük (ami azt is jelenti, hogy kizárólag a meghatárzott funkciók támogatására kérhetnek releváns hozzáférést).

A Google egyrészt arra ösztönzi a felhasználókat, hogy alaposan olvassák át és mérlegeljék a külső alkalmazások által igényelt jogosultságok listáját. Másrészt hangsúlyozza, hogy a felhasználói fiókok biztonsági beállításai között mindenki megnézheti, jelenleg milyen appok férnek hozzá a levelezéséhez, és ezeket bármikor letilthatja.
 

forrás: www.blog.google

A posztból ugyanakkor nem derül ki néhány olyan dolog, ami szintén érdekelheti a Gmail alatt levelező majdnem másfél milliárd embert. A technikai hozzáférés meglétéből például nem következik, hogy a külső fejlesztőknek világosan megtiltják-e tiltva a levelek olvasását, és ha igen, akkor hogyan tartatják be velük a szabályokat. (A felkérésekben ugyanis nem térnek ki rá, hogy algoritmikus feldolgozásról lenne szó, vagy a levelek tartalma emberi szemek elé kerülhet.)

Bár az applikációkat szállító cégek elvileg rendelkeznek saját irányelvekkel is a személyes adatok kezelésére, az semmiképpen sem életszerű, hogy a felhasználók a Google adatvédelmi szabályzata mellett ezeken is minden egyes esetben átrágják magukat. A Cambridge Analytica esete éppen az ilyen sebezhetőségekre világított rá: a Facebook valamilyen indokkal (és fogadjuk el, hogy jóhiszeműen) hozzáférést adott a felhasználók adataihoz, amit aztán a harmadik fél tisztességtelen célokra használt.