Otra vez Buzz y la privacidad: Google comienza a recibir demandas por todo lado

Suguridad Informática

El arranque de Google Buzz ha sido completamente desastroso. Una empresa del tamaño de Google no puede permitirse el lujo de lanzar un servicio que compromete de múltiples formas la privacidad de los usuarios, tal y como ha sucedido. Como ya adelantó mi compañero Javier Muniz en su Buzz A Fondo, la estratagema de aceptar automáticamente seguidores expuso conversaciones y comentarios privados de montones de usuarios.

El caso más destacado en esos primeros días, como podéis recordar, fue el de una chica que se mantenía alejada de un ex-novio violento. Cuando ella aceptó iniciar el servicio, Buzz permitió que las personas con las que más correos había intercambiado tuvieran acceso a a sus comentarios de Google Reader, lo que permitió a su ex-pareja deducir su ubicación actual fácilmente.

Esta imperdonable pifiada algunos la achacan a error de principiante (en el sentido de que es la primera red social creada, que no adquirida, por Google), mientras que otros consideramos que bien puede ser una estrategia planificada para que desde el principio el servicio tuviera un gran número de usuarios y enlaces entre usuarios, aunque no baremaron bien las consecuencias.

Pero independientemente de esto, Buzz ha nacido acompañado de múltiples errores de privacidad que han dejado expuestos más datos sensibles de sus usuarios.

Lógicamente, las demandas no se han hecho esperar, y vienen acompañadas de presiones gubernamentales que pueden obligar a Google a replantearse su estrategia con Buzz.

La primera pifia imperdonable fue la conexión automática entre usuarios. Como recordaréis, cuando aceptabas unirte a Buzz, éste te conectaba con la gente con la que más correos habías intercambiado.

Esta lista es pública por defecto. Si además lo combinamos con que permite que esas personas tengan acceso a tus compartidos de Reader, a tus fotos de Picasa, etc., ya está completado el lío. Cualquiera puede ver con quién te carteas más, y tiene acceso a fotos y comentarios que quizás no quieras compartir con quien más te escribes.

¿Tan grave es esto? Pues aún más de lo que parece. Disidentes iraníes han visto cómo su lista de contactos habituales quedaba expuesta. Las oscuras y protegidas fuentes de periodistas de investigación han salido involuntariamente a la luz. Y como en el caso antes comentado, aquel abusivo ex-amante ha tenido acceso a comentarios y fotos de los sitios que frecuenta su ex-pareja. Para colmo, Buzz ha demostrado tener varios fallos de seguridad, lo que unido a estos errores de planteamiento terminan de completar el desastre. Es muy fácil dejar expuesta la dirección de correo de cualquiera de tus contactos a la gente que te sigue en Buzz. En el caso de que respondas por Buzz a alguien que no tiene perfil público, o que no sigas ni por Buzz ni por GTalk, Buzz venía mostrando la dirección de correo de esa persona a todos los que tienen acceso a ese buzz.

Google empezó a parchear casi el mismo día del lanzamiento. Ahora, es necesario crear un perfil antes de empezar a usar Buzz, hay un mecanismo para bloquear a gente que quiere seguirte, Reader y Picasa no se conectan a Buzz por defecto, es posible ocultar tus listas de a quién sigues y quién te sigue, se muestran avisos sobre si quieres hacer estas listas públicas o no, y hay una pestaña en GMail que permite configurar o desconectar Buzz del todo. Cosas demasiado básicas, que tenían que formar parte del servicio desde su lanzamiento.

Y más problemas… se ha informado de una vía de ataque de tipo cross-site scripting sobre Buzz. Es sobre el dominio de Google.com, lo que supone un riesgo grave de phishing y de cookies maliciosas.

Es sobre SSL/TLS, lo que facilita la ocultación del ataque. Y puede usarse para suplantar la cuenta Buzz de alguien. Todo esto según la persona que afirma haber explotado el fallo, claro.

Tras todo esto, es sencillo entender que las demandas iban a llegar más pronto que tarde. Bufetes de abogados de San Francisco y Washington han iniciado una demanda colectiva, que tiene a la cabeza a Eva Hibnick, una mujer de Florida que representa a muchos usuarios de GMail afectados e indignados por estos fallos de privacidad causados por Buzz, acusando a Google de infringir todo tipo de leyes sobre comunicaciones legales, y en concreto la “Computer Fraud and Abuse Act”.

El ámbito de esta ley cubre infracciones como comprometer la confidencialidad de un ordenador, o transmisiones de información no autorizadas con daño intencional. Los abogados que inician el proceso exigen que Google no repita este tipo de actos que comprometan la confidencialidad de sus usuarios, y por supuesto, pasta compensatoria. Ya que la demanda se presenta de parte de todos los usuarios de GMail (que se estiman en 31.2 millones), la compensación económica a la que puede enfrentarse Google puede ser de proporciones épicas y acongojantes.

No es el único frente abierto, faltaría más. El gobierno de Canadá, bastante más comprometidos con la privacidad de sus ciudadanos que el de su vecino norteamericano, también ha abierto una ronda de contacto con los responsables de Buzz, como ya hiciera con Facebook, obligándole a revisar sus políticas de privacidad. La Oficina del Comisionado de Privacidad de Canadá está preocupada por los aspectos más controvertidos de Buzz, y aunque desde Google se afirma que no hay abierta una investigación formal, reconocen que ha comenzado el diálogo. Por último (al menos por ahora), el Centro de Información de Privacidad Electronica de Estados Unidos, ha solicitado a la FTC (Federal Trade Commerce) que investigue Buzz, porque este producto “ha violado las expectativas de los usuarios, disminuido la privacidad de los usuarios, contradicho la política de privacidad de Google, y puede haber violado las leyes federales de escucha e intercepción de las comunicaciones”.

Google no es dada a cometer errores tan graves como estos, y no debe salir de rositas frente a un tema tan serio. Veremos cómo se desarrolla el tema, y hasta qué punto afecta a la expansión de Buzz.

Fuente: genbeta.com

Tema Relacionado: Suguridad Informática