Une collection de fuites de cas internes de confidentialité de Google donne un rare aperçu du volume et de la gestion des violations, accidents et autres incidents par l’entreprise. 404 Médias obtenus et examinés dans la base de données, qui couvre des milliers de problèmes de confidentialité et de sécurité signalés en interne de 2013 à 2018.
Google a vérifié l’authenticité du trésor auprès d’Engadget, mais a affirmé que certains des rapports étaient liés à des services tiers ou n’étaient pas préoccupants. « Chez Google, les employés peuvent rapidement signaler les problèmes potentiels du produit pour examen par les équipes compétentes », a écrit un porte-parole de l’entreprise à Engadget. « Lorsqu’un employé soumet un signalement, il suggère le niveau de priorité à l’évaluateur. Les rapports obtenus par 404 datent d’il y a plus de six ans et sont des exemples de ces drapeaux – chacun d’entre eux a été examiné et résolu à ce moment-là. Dans certains cas, ces signalements d’employés se sont avérés ne poser aucun problème ou étaient des problèmes que les employés ont trouvés dans des services tiers.
404 Médias écrit que, pris au niveau individuel, de nombreux cas n’ont touché que quelques personnes ou ont été résolus rapidement. « Mais dans son ensemble, la base de données interne montre comment l’une des entreprises les plus puissantes et les plus importantes au monde gère, et souvent mal, une quantité impressionnante de données personnelles et sensibles sur la vie des gens. » 404 Médias» a écrit Joseph Cox.
Les exemples incluent un problème de sécurité potentiel lorsqu’un client gouvernemental d’un service cloud de Google a vu ses données sensibles migrées accidentellement vers un produit grand public. Le rapport interne de Google ajoute qu’en conséquence, l’emplacement des données aux États-Unis n’est « plus garanti pour ce client », selon le rapport.
En 2016, un autre cas a signalé un problème dans Google Street View, où un filtre du logiciel de transcription du service conçu pour omettre les numéros de plaque d’immatriculation capturés n’a pas réussi à faire son travail. « En conséquence, notre base de données d’objets détectés depuis Street View contient désormais par inadvertance une base de données de numéros de plaque d’immatriculation géolocalisés et de fragments de numéros de plaque d’immatriculation », indique le rapport acquis par 404 Médias détails. (Oups !) Ce rapport indiquait que les données avaient été purgées.
Un autre incident a mis en évidence un cas où un bug dans un service vocal de Google a accidentellement capturé et enregistré environ 1 000 heures de données vocales d’enfants pendant environ une heure. Ce rapport de cas affirmait que l’équipe avait supprimé toutes les données.
D’autres cas dans la base de données vont de « une personne » modifiant les comptes clients sur la plate-forme publicitaire de Google pour manipuler les codes de suivi d’affiliation à YouTube recommandant des vidéos en fonction des historiques de visionnage supprimés des utilisateurs. Un rapport souligne même comment un employé de Google a (involontairement, selon le rapport) accédé aux vidéos YouTube privées de Nintendo et divulgué des informations avant les annonces de la société de jeux vidéo.
Le rapport complet de 404 Médiasqui détaille davantage les rapports internes, mérite d’être lu pour toute personne curieuse de connaître les types d’incidents de confidentialité et de sécurité auxquels une entreprise de l’ampleur de Google est confrontée – ou provoquée elle-même – et comment elle y répond.