Home>News>Hot topics, Security & Cybercrime>Data breach in Google Foto: gli utenti scaricavano immagini di altri account

Data breach in Google Foto: gli utenti scaricavano immagini di altri account

Una violazione dei dati personali può scaturire da un’azione intenzionale (ad es., un cyberattacco) o da un’errore umano (ad es., cancellazione accidentale), o da un problema tecnico (ad es., errore di sistema). Ieri si è appreso che Google è incappato in un data breach attinente a quest’ultima macro-categoria: un malfunzionamento temporaneo di Google Foto potrebbe causare (o aver già causato) non pochi disagi ad una moltitudine di utenti compromettendo la privacy di informazioni strettamente personali.

Google Foto è il servizio di Big G che fornisce una libreria personale in cloud per archiviare foto e video da un dispositivo o da Google Drive. Stando alle e-mail inviate da Google ad alcuni utenti del servizio (come riportato su Twitter dall’esperto di sicurezza Jon Oberheide), un problema tecnico occorso tra il 21 e il 25 novembre 2019 ha alterato la funzione “Download Your Data” che permette l’estrazione e il salvataggio dei propri file da Google Foto in locale o in un altro supporto di memoria. Il risultato del malfunzionamento è che in diversi casi le immagini scaricate da un utente non provenivano da un proprio account ma da quello di altri utenti.

Google ha dichiarato alla webzine 9to5Google che il numero di soggetti interessati dal disservizio si aggira attorno allo 0,01% degli utenti di Google Foto. Una percentuale apparentemente irrilevante, ma tenuto conto del numero di utenti iscritti, potrebbero essere fino a 100.000 gli individui che si sono ritrovati sui propri dispositivi foto e video privati appartenenti a terze persone.

Tanto basta, secondo i dettami del GDPR, a configurare un caso di data breach, anche piuttosto grave. Ci sono decine di migliaia di persone che si staranno domandando se degli estranei abbiano salvato sul proprio pc o telefono le immagini della propria vita privata, dei propri pargoli o di situazioni estremamente intime. E si chiederanno se costoro seguiranno davvero l’invito di Google a cancellare i file non derivanti dal proprio account oppure se ne faranno un uso indebito. Di fatto, trattasi di foto e video su cui gli utenti hanno perso per sempre il controllo quanto a riservatezza e ambito di circolazione.

Un bel guaio. Il tenore della e-mail che Google ha inviato agli interessati sembra quello tipico della segnalazione di un piccolo guasto tecnico prontamente risolto: in vero, il danno potenziale che aleggia sulle migliaia di “vittime” del disservizio è ingente, sia perché la circostanza è di per sé idonea a ingenerare ansia sia perché potrebbero verificarsi casi di indebita divulgazione o di ricatto con minaccia di divulgazione. Se a Mountain View hanno davvero – come più volte sbandierato – a cuore la privacy degli utenti dovrebbero non solo prevenire problemi tecnici di questo tipo ma anche dimostrare nella comunicazione con gli utenti la consapevolezza che certe “technical issue” (per quanto involontarie) possono produrre lesioni profonde a coloro che hanno affidato a Google – sulla fiducia ma anche in base a specifiche rassicurazioni rese nei termini di servizio –  una quota rilevante della propria sfera intima e privata.

Nel frattempo, sempre ieri, sono giunte altre notizie non piacevoli per Google. Il Data Protection Commissioner irlandese, in qualità di autorità capofila per le altre omologhe UE secondo il meccanismo one-stop-shop previsto dal GDPR, ha annunciato di aver aperto un’indagine sui trattamenti di geolocalizzazione effettuati da Google. Trattamenti che non convincono sotto il profilo della presupposti di liceità e di trasparenza.

2020-02-05T11:33:43+00:00 5 febbraio 2020|Hot topics, Security & Cybercrime|