Google文檔在3月7日發(fā)生了大批用戶文件外泄事件。美國隱私保護組織就此提請政府對Google采取措施，使其加強云計算產(chǎn)品的安全性。

　　

[[1218]]

 

云計算可以讓用戶在全球任何一個角落更新文檔，并與他人共享。

如果你是Google文檔的用戶，在不知情的情況下，你的許多文件突然出現(xiàn)在別人的賬戶里，別人可以隨便查看，這時，你會有什么感受？

這不是一個假想。3月7日，全球眾多的Google文檔用戶就十分錯愕地發(fā)現(xiàn)別人的文檔居然“不期而至”。

這些用戶打開賬戶后，發(fā)現(xiàn)了不少陌生的文件。事實上，這些陌生文件的主人此時可能還不知道，自己的文件已經(jīng)“共享”給了別人。

當天，Google發(fā)現(xiàn)了這個問題并迅速進行了處理。此后，用戶再打開賬戶時，一切恢復(fù)正常，只是多了一封Google的致歉信。

不過，專注于隱私保護的組織這次沒有放過Google。3月17日，美國的電子隱私信息中心（Electronic Privacy Information Center，下稱EPIC）向監(jiān)管機構(gòu)申訴，Google的云計算產(chǎn)品在保護用戶隱私方面做的不夠，要求對Google進行調(diào)查。同時，EPIC要求FTC（Federal Trade commission，聯(lián)邦貿(mào)易委員會）禁止Google提供云計算服務(wù)，直到后者的安全措施落實到位。

云計算已經(jīng)越來越成為我們生活的一部分。這方面，Google做得最大，已有的云軟件包括：Gmail、Google文檔、桌面搜索、Picasa照片在線存儲和Google日歷等。今年2月，Google還發(fā)布了Google Voice，它可以把電話聲音郵件傳輸?shù)街付ǖ泥]箱。

Google的“云”是否足夠安全，確實值得我們用戶好好關(guān)心一下。

安全漏洞

3月7日，遭遇信息外泄的Google文檔用戶都收到了落款為“Google文檔小組”的致歉信。

“親愛的Google文檔用戶，我們想讓你知道你的Google文檔賬戶發(fā)生的事。我們已經(jīng)發(fā)現(xiàn)并修改了一個漏洞，它讓你在不知情的情況下，把你的文件與別人分享?！毙旁陂_頭說。

Google說，出現(xiàn)問題的文件占全部文件的0.05％?？紤]到Google文檔的用戶數(shù)量龐大，問題文件的絕對數(shù)量十分可觀。

據(jù)Google宣稱，這些文件意外泄露給的對象，限于現(xiàn)在或以前與你曾經(jīng)有過分享關(guān)系的人。泄露的文件限于Docs和Presentations，對于Spreadsheets沒有影響。

Google通過一個自動的程序，把受到影響的文件的分享者予以了屏蔽。因而，如果這些文件原本是與別人分享的，用戶本人需要手工再去作一次分享的操作。Google則把受到影響的文件為用戶單列了出來。

最后，Google作了誠摯的道歉。

但是，隱私組織EPIC對于Google的道歉并不買賬。EPIC執(zhí)行董事Marc Rotenberg在聲明中說，Google文檔的數(shù)據(jù)泄露表明，Google安全措施的不足，云計算服務(wù)存在風險。

3月17日，EPIC向FTC遞交了申訴材料。

在材料中，EPIC說，在本次事件之前，已經(jīng)發(fā)生過數(shù)起事件，足以證明Google安全防范措施的不足。

2005年1月，研究者發(fā)現(xiàn)了Gmail里的幾個安全漏洞，令用戶名和密碼很容易被盜竊，外來者可以窺探用戶的電郵。

2005年12月，研究者發(fā)現(xiàn)Google桌面以及IE瀏覽器的一個漏洞，令Google用戶的個人數(shù)據(jù)很容易暴露給惡意網(wǎng)站。

2007年1月，安全專家發(fā)現(xiàn)在Google桌面存有一個安全漏洞，有惡意的人不僅可以遠程持續(xù)地侵入Google桌面用戶的敏感信息，甚至可以控制用戶的整個電腦系統(tǒng)。

經(jīng)常性錯誤

Google云計算產(chǎn)品出現(xiàn)意外確實不稀奇。一篇作者名為Tim Bass的博客描述了博主在2008年9月15日遇到的Google文檔意外。

“我是Google的粉絲”，Tim Bass寫道，“我很早就用上了Google文檔，并享受由此帶來的自由。比如，我記錄商業(yè)花費時，用Google Spreadsheet，比起用微軟的Excel方便許多。因為我可以在全球任何一個角落更新，而且直接與公司的財務(wù)人員共享。所以最近我一直用Google文檔?！?/P>

“但是，今天，我發(fā)現(xiàn)了一個很大的安全漏洞。在我的賬戶里，我突然發(fā)現(xiàn)了許多不屬于我的文件?！盩im Bass把幾份不屬于他的文件復(fù)制了出來，貼在博客里。

Tim Bass與其中一個文件的主人聯(lián)系，結(jié)果對方是個泰國人。而那個泰國人也表示，在自己的賬戶里發(fā)現(xiàn)了不屬于自己的文件。

幾個小時后，一切回歸了原狀。

EPIC在申訴材料中說，盡管Google一再保證它的“計算機云”里的文件是安全的，但Google的云計算服務(wù)已經(jīng)受到了數(shù)據(jù)泄露的侵害。

EPIC說，Google儲存和傳輸文件都是普通的文本，而不是加密的文本?！岸谄渌脑朴嬎惴?wù)提供商中，這些文本都是加密的”。

調(diào)查Google

云計算服務(wù)正在快速成為美國經(jīng)濟的重要部分。2009年3月的一項研究預(yù)計，到2012年，美國本土的公司耗費在云計算上的IT支出將會翻三倍，至420億美元。

美國人已經(jīng)越來越多地用到了云計算服務(wù)。2008年9月，69％的美國人使用電郵服務(wù)、在線信息儲存或者使用在線的文字處理軟件。

EPIC由此要求FTC發(fā)起對Google的調(diào)查，要求Google在確保安全措施到位前，不得提供云計算服務(wù)。

EPIC把Google告到FTC，結(jié)果會如何？

FTC有幾次讓IT企業(yè)加強了數(shù)據(jù)安全措施的先例。

比如，2005年，F(xiàn)TC裁定，Choicepoint不能為它的16.3萬名用戶的敏感信息提供有效的安全保護。2006年1月26日，F(xiàn)TC與Choicepoint達成和解，要求Choicepoint公司安裝一個綜合性的信息安全程序，并在未來20年，每年都由獨立第三方進行安全審計。另外，Choicepoint支付1500萬美元的民事賠償以及500萬美元的用戶補救。

再比如，2009年2月5日，F(xiàn)TC與Compgeeks.com達成和解，要求Compgeeks.com安裝綜合的信息安全程序，確保用戶信息安全，未來20年，每兩年由獨立第三方做一次安全審計。

而無論結(jié)果如何，我們在使用Google的云計算產(chǎn)品時有所保留，不把最隱私的內(nèi)容放在上面，應(yīng)是明智之舉。

【編輯推薦】

1. “云”安全性遭信任危機 Google Docs現(xiàn)安全漏洞
2. 云計算時代殺毒軟件的生存狀態(tài) 
3. 自己動手打造公司內(nèi)網(wǎng)監(jiān)管利器
4. 利用HTTP-only Cookie緩解跨站點腳本攻擊
5. PWN2OWN黑客大賽2009到底有哪些猛料？