За допомогою цих кнопок є занадто багато способів витоку особистої інформації або допомоги Big Tech відстежувати вас. Є деякі винятки, коли це корисно, але ви можете бути здивовані та трохи пошкодувати, якщо побачите, скільки випадкових сайтів мають доступ до ваших даних Google або Facebook. (Нижче я покажу вам, як перевірити та скасувати доступ.)
Юзерка натиснула банер «Увійти за допомогою Google» і втратила всі свої файли
Дмитро Сизов
Ви, мабуть, бачили це в багатьох програмах і на веб-сайтах: кнопки, які закликають вас увійти за допомогою облікового запису Google або Facebook. Іноді для того, щоб ви могли ділитися файлами, фотографіями чи електронними листами. Інший раз це використовувати Google або Facebook як швидкий спосіб увійти десь нове. Головне правило - ніколи це не робити.
Що може піти не так? Цього місяця Facebook попередила мільйон користувачів Facebook, що їхні облікові записи могли бути зламані 400 шкідливими програмами, які були розроблені, щоб обманом змусити їх надати дані для входу в Facebook. Зловмисники виготовляли підроблені кнопки входу. Читач Washington Post нещодавно написав про кнопку входу в Google на порталі вакансій під назвою iCIMS, призначену — принаймні теоретично — допомогти людям завантажувати свої резюме. Виявляється, його використання ненавмисно надає сайту доступ до всієї вашої колекції цифрових файлів.
Можливо, ви не знаєте назви iCIMS, але багато людей, які претендують на роботу, знають: вона має 2,4 мільйона користувачів і використовується для набору персоналу такими компаніями, як Microsoft, Uber, UPS, Target і IBM. Сайт iCIMS запропонував доньці читача The Post можливість завантажити своє резюме безпосередньо з Google Drive, служби онлайн-сховища. Звучить зручно, але коли вона натиснула кнопку Google Drive, з’явилося повідомлення: «Це дозволить iCIMS: переглядати та завантажувати всі ваші файли Google Drive». Зачекайте, вони всі ? Google Drive — це популярна служба хмарного зберігання не лише документів, але й фотографій людей, сімейних відео, податкових декларацій тощо. Інші скаржилися на те саме порушення конфіденційності на Reddit і власних форумах підтримки Google — і я підтвердив деталі, подавши заявку на роботу.
iCIMS сказав мені, що зараз не копається в інших файлах кандидатів на роботу, які завантажують резюме. «iCIMS не отримує доступу, не передає, не зберігає та не обробляє будь-яку додаткову інформацію з облікового запису Google Drive кандидата, окрім файлу, який вони вибирають для завантаження на платформу iCIMS», — написав Ел Сміт, головний технічний директор компанії.
Але проблема в тому, що iCIMS все ще просить надати йому дозвіл на доступ до всіх ваших файлів Google. Сміт сказав, що це «стандартне підключення, кероване Google», і це був єдиний спосіб обмінюватися файлами з Диска, коли iCIMS створив свій веб-сайт.
Представник Google сказав мені, що користувачі мають «вибір і контроль» і повинні клацнути свою згоду на обмін даними на екрані «дозвіл на доступ». Але скільки людей витрачає час на читання та перетравлення цього дрібного шрифту?
Google дійсно має правила , яких мають дотримуватися сайти та додатки, зокрема брати мінімальну кількість даних і робити заяви про те, що вони з ними роблять. Google каже, що користувачі можуть повідомляти йому про неслухняні програми , але це не те саме, що перевіряти їх заздалегідь.
iCIMS повідомляє мені, що незабаром планується перейти на новішу версію плагіна Google Drive, яка пропонує більш вузькі дозволи: «переглядати, редагувати, створювати та видаляти лише певні файли Google Drive, які ви використовуєте з цією програмою». (Google каже, що з 2012 року він зробив більш вузький плагін для обміну даними.)
Але висновок залишається: коли ви входите в обліковий запис Google, ви починаєте вірити, що ваші дані будуть захищені.
Коли можна використовувати кнопки входу?
Кнопки входу не обов’язково погані. «Якщо це законний сайт або служба, то вам не варто надто хвилюватися», — сказав Богдан Ботезату, директор із дослідження загроз і звітності компанії безпеки Bitdefender.
Наприклад, деякі люди входять в обліковий запис Google, щоб надати додатку для відеоконференцій Zoom доступ до свого календаря, завдяки чому виклики з’являються автоматично. Але є ще одна гостра проблема: «Як ви знаєте, що це законно, а коли ні?» сказала Джен Калтрідер, яка керує проектом Privacy Not Included у некомерційній організації Mozilla. «Я дослідник конфіденційності, і іноді я не впевнений на 100 відсотків». Сьогодні багато компаній приховують, що вони насправді займаються видаленням даних людей.
І Google має довгу історію дозволу сумнівного надмірного використання. У 2018 році мій колега Дуг Макміллан розкрив сотні додатків , які шукали доступ до всього вмісту Gmail, щоб пропонувати такі послуги, як порівняння цін і автоматизоване планування маршрутів. Він виявив, що програми навчають їхні комп’ютери та навіть співробітників читати електронні листи людей.