Google的云计算,你真的安全吗?

2009/3/22 来源:www.arpun.com 作者:小白

Google文档在3月7日发生了大批用户文件外泄事件。 美国隐私保护组织就此提请政府对Google采取措施, 使其加强云计算产品的安全性。

Google的云计算,你真的安全吗?云计算可以让用户在全球任何一个角落更新文档, 并与他人共享。

云计算可以让用户在全球任何一个角落更新文档, 并与他人共享。

如果你是Google文档的用户, 在不知情的情况下, 你的许多文件突然出现在别人的账户里, 别人可以随便查看, 这时, 你会有什么感受?

这不是一个假想。 3月7日, 全球众多的Google文档用户就十分错愕地发现别人的文档居然“不期而至”。

这些用户打开账户后, 发现了不少陌生的文件。 事实上, 这些陌生文件的主人此时可能还不知道, 自己的文件已经“共享”给了别人。

当天, Google发现了这个问题并迅速进行了处理。 此后, 用户再打开账户时, 一切恢复正常, 只是多了一封Google的致歉信。

不过, 专注于隐私保护的组织这次没有放过Google。 3月17日, 美国的电子隐私信息中心(Electronic Privacy Information Center, 下称EPIC)向监管机构申诉, Google的云计算产品在保护用户隐私方面做的不够, 要求对Google进行调查。 同时, EPIC要求FTC(Federal Trade commission, 联邦贸易委员会)禁止Google提供云计算服务, 直到后者的安全措施落实到位。

云计算已经越来越成为我们生活的一部分。 这方面, Google做得最大, 已有的云软件包括:Gmail、Google文档、桌面搜索、Picasa照片在线存储和Google日历等。 今年2月, Google还发布了Google Voice, 它可以把电话声音邮件传输到指定的邮箱。

Google的“云”是否足够安全, 确实值得我们用户好好关心一下。

安全漏洞

3月7日, 遭遇信息外泄的Google文档用户都收到了落款为“Google文档小组”的致歉信。

“亲爱的Google文档用户, 我们想让你知道你的Google文档账户发生的事。 我们已经发现并修改了一个漏洞, 它让你在不知情的情况下, 把你的文件与别人分享。 ”信在开头说。

Google说, 出现问题的文件占全部文件的0.05%。 考虑到Google文档的用户数量庞大, 问题文件的绝对数量十分可观。

据Google宣称, 这些文件意外泄露给的对象, 限于现在或以前与你曾经有过分享关系的人。 泄露的文件限于Docs和Presentations, 对于Spreadsheets没有影响。

Google通过一个自动的程序, 把受到影响的文件的分享者予以了屏蔽。 因而, 如果这些文件原本是与别人分享的, 用户本人需要手工再去作一次分享的操作。 Google则把受到影响的文件为用户单列了出来。

最后, Google作了诚挚的道歉。

但是, 隐私组织EPIC对于Google的道歉并不买账。 EPIC执行董事Marc Rotenberg在声明中说, Google文档的数据泄露表明, Google安全措施的不足, 云计算服务存在风险。

3月17日, EPIC向FTC递交了申诉材料。

在材料中, EPIC说, 在本次事件之前, 已经发生过数起事件, 足以证明Google安全防范措施的不足。

2005年1月, 研究者发现了Gmail里的几个安全漏洞, 令用户名和密码很容易被盗窃, 外来者可以窥探用户的电邮。

2005年12月, 研究者发现Google桌面以及IE浏览器的一个漏洞, 令Google用户的个人数据很容易暴露给恶意网站。

2007年1月, 安全专家发现在Google桌面存有一个安全漏洞, 有恶意的人不仅可以远程持续地侵入Google桌面用户的敏感信息, 甚至可以控制用户的整个电脑系统。

经常性错误

Google云计算产品出现意外确实不稀奇。 一篇作者名为Tim Bass的博客描述了博主在2008年9月15日遇到的Google文档意外。

“我是Google的粉丝”, Tim Bass写道, “我很早就用上了Google文档, 并享受由此带来的自由。 比如, 我记录商业花费时, 用Google Spreadsheet, 比起用微软的Excel方便许多。 因为我可以在全球任何一个角落更新, 而且直接与公司的财务人员共享。 所以最近我一直用Google文档。 ”

“但是, 今天, 我发现了一个很大的安全漏洞。 在我的账户里, 我突然发现了许多不属于我的文件。 ”Tim Bass把几份不属于他的文件复制了出来, 贴在博客里。

Tim Bass与其中一个文件的主人联系, 结果对方是个泰国人。 而那个泰国人也表示, 在自己的账户里发现了不属于自己的文件。

几个小时后, 一切回归了原状。

EPIC在申诉材料中说, 尽管Google一再保证它的“计算机云”里的文件是安全的, 但Google的云计算服务已经受到了数据泄露的侵害。

EPIC说, Google储存和传输文件都是普通的文本, 而不是加密的文本。 “而在其他的云计算服务提供商中, 这些文本都是加密的”。

调查Google

云计算服务正在快速成为美国经济的重要部分。 2009年3月的一项研究预计, 到2012年, 美国本土的公司耗费在云计算上的IT支出将会翻三倍, 至420亿美元。

美国人已经越来越多地用到了云计算服务。 2008年9月, 69%的美国人使用电邮服务、在线信息储存或者使用在线的文字处理软件。

EPIC由此要求FTC发起对Google的调查, 要求Google在确保安全措施到位前, 不得提供云计算服务。

EPIC把Google告到FTC, 结果会如何?

FTC有几次让IT企业加强了数据安全措施的先例。

比如, 2005年, FTC裁定, Choicepoint不能为它的16.3万名用户的敏感信息提供有效的安全保护。 2006年1月26日, FTC与Choicepoint达成和解, 要求Choicepoint公司安装一个综合性的信息安全程序, 并在未来20年, 每年都由独立第三方进行安全审计。 另外, Choicepoint支付1500万美元的民事赔偿以及500万美元的用户补救。

再比如, 2009年2月5日, FTC与Compgeeks.com达成和解, 要求Compgeeks.com安装综合的信息安全程序, 确保用户信息安全, 未来20年, 每两年由独立第三方做一次安全审计。

而无论结果如何, 我们在使用Google的云计算产品时有所保留, 不把最隐私的内容放在上面, 应是明智之举。

网友评论
评论(...
全部评论