maanantai 21. kesäkuuta 2010

Googlen kuvausauto tallensi myös salasanoja

Toukokuun puolivälissä uutisoitiin, että Googlen StreetView-kuvausautot olivat wlan-verkkoja skannatessaan tallentaneet myös verkkojen liikennettä (Googlen oma blogimerkintä aiheesta).

Google oli aiemmin väittänyt, että verkoista tallennetaan vain mac-osoite sekä verkon ssid-nimi. Näin saatua tietokantaa hyödynnetään palvelussa, joka kertoo käyttäjän sijainnin jopa yhden talon tarkkuudella. Kävi kuitenkin ilmi, että verkoista oli tallennettu "vahingossa" pätkä muutakin dataliikennettä. Huonolla tuurilla tähän kohtaan saattoi osua sähköpostiviestien latausta tai jopa tunnuksia ja salasanoja, joilla käyttäjä kirjautui verkon palveluihin.

Varsinkin kotikäyttäjät lukevat usein sähköpostiaan salaamattomalla pop/imap-yhteydellä. Oikein toteutettu verkkopalvelu siirtää kuitenkin käyttäjätunnuksen ja salasanan ssl-salattuna, joten ne eivät näy ulospäin. Ja tietenkin wlan-tukiasemassa pitäisi olla salaus, jolloin ulkopuolinen ei saa mitään tolkkua liikenteestä.

Googlen tapaus koski vain avoimia wlan-verkkoja. Suomessa niitä on aiempaa vähemmän, mutta silti yhä paljon.

Erityisen kiusalliseksi tapauksen teki se, että Google väitti keräävänsä vain teknistä tietoa. Vasta kun Saksan tietosuojaviranomainen vaati kerättyä dataa nähtäväkseen kävi ilmi, että myös liikennettä oli tallennettu. Onko Google mahtanut kerätä huomaamattaan muutakin dataa käyttäjistään?

Google selitti tapahtuneen olleen vahinko. Tukiasemia kartoittaneeseen softaan oli jäänyt pätkä aiemman projektin koodia. Selitys kuulostaa niin lapselliselta, ettei se voi olla muuta kuin totta. Tosin herää uusi kysymys: mikä oli se aiempi projekti, jossa Google tallensi tukiasemien liikennettä -- ja miksi?

Voi tuntua ihmeelliseltä, että Googlen kaltainen mahtava teknologiayhtiö sortuu näin alkeelliseen virheeseen. Työntekijät ovat kuitenkin tavallisia ihmisiä, eikä vähemmän tärkeisiin projekteihin suhtauduta samalla vakavuudella kuin vaikkapa yhtiön hakukoneeseen. Se tuskin voisi kerätä tietoja vahingossa.

Mielenkiintoista kyllä, Microsoftilla oli samanlainen episodi 1990-luvun puolivälissä. Verkkopalvelussa käyneistä koneista kerättiin enemmän tietoa kuin piti. Silloin oli Microsoftin vuoro selittää, että softaan oli vahingossa jäänyt ylimääräistä koodia. Kohu oli tuolloin vielä suurempi kuin nyt Googlen tapauksessa -- ehkä siksi että urkinnan kohteena oli myös amerikkalaisia koneita ja epäluulot Microsoftia kohtaan olivat paljon suuremmat kuin nykyisin Googlea kohtaan.

"Googlen kuvausautot tallensivat myös salasanoja ja sähköposteja" kertoo tämänpäiväinen (21.6.2010) nettiuutinen. Otsikko on tarkoituksellisen harhaanjohtava. On selvää, että jos avoimen wlan-tukiaseman liikennettä ON tallennettu, mukaan on sattunut myös salasanoja ja sähköposteja. Aivan eri asia olisi, jos juuri näitä olisi tietoisesti haravoitu liikenteestä.

Episodi muistuttaa jälleen kerran wlan-tukiaseman suojaamisen tärkeydestä. Jos salausta ei ole, kuka tahansa voi seurata liikennettä ja pyydystää siitä salasanoja tai sähköposteja. Todennäköisimmin asialla on kuitenkin utelias naapuri tai ohikulkija kuin Google.

1 kommentti:

Anonyymi kirjoitti...

Hieno ominaisuus tämä wlan paikannus. Koitin juuri hiljattain kotona hakea langattoman laitteen google-maps ohjelmalla reittiä, jonka lähtöpiste oli "nykyinen sijaintini". Harmi vaan, että google auto oli käynyt minun tukiaseman kartoittamassa jo kun asuin edellisessä asunnossani. IP:n perusteella oikea osoite olisi kyllä löytynyt, mutta sitä google-maps ei osannut tehdä.

Website Security Test