HARD CORE SECURITY LAB

Chyba nikt nie ma już wątpliwości co do tego, że firma Google gromadzi na temat swych użytkowników ogromne ilości informacji. Pomimo głośnych wpadek, takich jak przypadki gromadzenia informacji przechwyconych z prywatnych sieci bezprzewodowych, nadal wszyscy chcemy wierzyć, że internetowy gigant w należyty sposób chroni informacje i sekrety, które mu powierzamy na co dzień korzystając z jego rozlicznych usług. Tymczasem na jaw wyszyły informacje o pracowniku firmy Google, który szpiegował swych znajomych, uzyskują dostęp do używanych przez nich usług Google.

27-letni David Barksdale, to były pracownik (Site Reliability Engineer) firmy Google, który wielokrotnie wykorzystywał swą pozycję, w celu śledzenia poczynań kilku znajomych mu osób. David szpiegował co najmniej cztery niepełnoletnie osoby, uzyskując przykładowo dostęp do ich kont w usłudze Google Voice, w celu uzyskania interesujących go informacji. W innym przypadku Barksdale uzyskał dostęp do zapisanej historii czata. Zdobywane informacje były następnie wykorzystywane do śledzenia, nagabywania, a nawet zastraszania i szantażowania ofiar.

David Barksdale

Trudno zrozumieć motywy działań Barksdale’a. Na chwilę obecną wydaje się, że chodziło mu o zamanifestowanie możliwości, jakie dawała mu pozycja zajmowana w firmie Google. David został wyrzucony z pracy już w lipcu, internetowy gigant przyznał, że jego pracownik dopuszczał się rażącego naruszania prywatności użytkowników, jednak powstrzymał się od ujawniania jakichkolwiek szczegółów.

Jak się więc okazuje, pracownicy firmy Google zajmujący stanowisko SRE (Site Reliability Engineer) mają dostęp do sporej ilości wrażliwych informacji, w tym do danych gromadzonych przez użytkowników. Jeśli więc przykładowo pełnisz rolę SRE w ramach usługi Gmail, możesz uzyskać dostęp do zawartości poszczególnych skrzynek pocztowych. Co najciekawsze, wewnętrzne mechanizmy bezpieczeństwa prawdopodobnie nie były zdolne do wykrycia nagannej działalności Davida, gdyż uzyskiwanie dostępu do prywatnych danych i usług jest często niezbędne do wykonania typowych zadań stawianych przed inżynierami SRE. Cała sprawa wyszła więc na jaw prawdopodobnie tylko dzięki zgłoszeniom nadsyłanym przez poszkodowanych.

Na chwilę obecną nie jest jasne to, jak wielu użytkowników padło ofiarą wścibskiego inżyniera. Nie wiadomo również, czy firma Google w związku w tym przypadkiem postanowiła lepiej przyglądać się działalności swych pracowników mających dostęp do danych gromadzonych przez użytkowników. Pewne jest natomiast, że musimy sobie zdać sprawę z tego, że administratorzy poszczególnych usług oraz serwisów internetowych najczęściej mogą uzyskiwać zupełnie swobodny dostęp do naszych prywatnych danych...

[źródło]