Google文檔在3月7日發生了大批用戶文件外泄事件。美國隱私保護組織就此提請政府對Google采取措施，使其加強云計算產品的安全性。

　　

[[1218]]

 

云計算可以讓用戶在全球任何一個角落更新文檔，并與他人共享。

如果你是Google文檔的用戶，在不知情的情況下，你的許多文件突然出現在別人的賬戶里，別人可以隨便查看，這時，你會有什么感受？

這不是一個假想。3月7日，全球眾多的Google文檔用戶就十分錯愕地發現別人的文檔居然“不期而至”。

這些用戶打開賬戶后，發現了不少陌生的文件。事實上，這些陌生文件的主人此時可能還不知道，自己的文件已經“共享”給了別人。

當天，Google發現了這個問題并迅速進行了處理。此后，用戶再打開賬戶時，一切恢復正常，只是多了一封Google的致歉信。

不過，專注于隱私保護的組織這次沒有放過Google。3月17日，美國的電子隱私信息中心（Electronic Privacy Information Center，下稱EPIC）向監管機構申訴，Google的云計算產品在保護用戶隱私方面做的不夠，要求對Google進行調查。同時，EPIC要求FTC（Federal Trade commission，聯邦貿易委員會）禁止Google提供云計算服務，直到后者的安全措施落實到位。

云計算已經越來越成為我們生活的一部分。這方面，Google做得最大，已有的云軟件包括：Gmail、Google文檔、桌面搜索、Picasa照片在線存儲和Google日歷等。今年2月，Google還發布了Google Voice，它可以把電話聲音郵件傳輸到指定的郵箱。

Google的“云”是否足夠安全，確實值得我們用戶好好關心一下。

安全漏洞

3月7日，遭遇信息外泄的Google文檔用戶都收到了落款為“Google文檔小組”的致歉信。

“親愛的Google文檔用戶，我們想讓你知道你的Google文檔賬戶發生的事。我們已經發現并修改了一個漏洞，它讓你在不知情的情況下，把你的文件與別人分享。”信在開頭說。

Google說，出現問題的文件占全部文件的0.05％。考慮到Google文檔的用戶數量龐大，問題文件的絕對數量十分可觀。

據Google宣稱，這些文件意外泄露給的對象，限于現在或以前與你曾經有過分享關系的人。泄露的文件限于Docs和Presentations，對于Spreadsheets沒有影響。

Google通過一個自動的程序，把受到影響的文件的分享者予以了屏蔽。因而，如果這些文件原本是與別人分享的，用戶本人需要手工再去作一次分享的操作。Google則把受到影響的文件為用戶單列了出來。

最后，Google作了誠摯的道歉。

但是，隱私組織EPIC對于Google的道歉并不買賬。EPIC執行董事Marc Rotenberg在聲明中說，Google文檔的數據泄露表明，Google安全措施的不足，云計算服務存在風險。

3月17日，EPIC向FTC遞交了申訴材料。

在材料中，EPIC說，在本次事件之前，已經發生過數起事件，足以證明Google安全防范措施的不足。

2005年1月，研究者發現了Gmail里的幾個安全漏洞，令用戶名和密碼很容易被盜竊，外來者可以窺探用戶的電郵。

2005年12月，研究者發現Google桌面以及IE瀏覽器的一個漏洞，令Google用戶的個人數據很容易暴露給惡意網站。

2007年1月，安全專家發現在Google桌面存有一個安全漏洞，有惡意的人不僅可以遠程持續地侵入Google桌面用戶的敏感信息，甚至可以控制用戶的整個電腦系統。

經常性錯誤

Google云計算產品出現意外確實不稀奇。一篇作者名為Tim Bass的博客描述了博主在2008年9月15日遇到的Google文檔意外。

“我是Google的粉絲”，Tim Bass寫道，“我很早就用上了Google文檔，并享受由此帶來的自由。比如，我記錄商業花費時，用Google Spreadsheet，比起用微軟的Excel方便許多。因為我可以在全球任何一個角落更新，而且直接與公司的財務人員共享。所以最近我一直用Google文檔。”

“但是，今天，我發現了一個很大的安全漏洞。在我的賬戶里，我突然發現了許多不屬于我的文件。”Tim Bass把幾份不屬于他的文件復制了出來，貼在博客里。

Tim Bass與其中一個文件的主人聯系，結果對方是個泰國人。而那個泰國人也表示，在自己的賬戶里發現了不屬于自己的文件。

幾個小時后，一切回歸了原狀。

EPIC在申訴材料中說，盡管Google一再保證它的“計算機云”里的文件是安全的，但Google的云計算服務已經受到了數據泄露的侵害。

EPIC說，Google儲存和傳輸文件都是普通的文本，而不是加密的文本。“而在其他的云計算服務提供商中，這些文本都是加密的”。

調查Google

云計算服務正在快速成為美國經濟的重要部分。2009年3月的一項研究預計，到2012年，美國本土的公司耗費在云計算上的IT支出將會翻三倍，至420億美元。

美國人已經越來越多地用到了云計算服務。2008年9月，69％的美國人使用電郵服務、在線信息儲存或者使用在線的文字處理軟件。

EPIC由此要求FTC發起對Google的調查，要求Google在確保安全措施到位前，不得提供云計算服務。

EPIC把Google告到FTC，結果會如何？

FTC有幾次讓IT企業加強了數據安全措施的先例。

比如，2005年，FTC裁定，Choicepoint不能為它的16.3萬名用戶的敏感信息提供有效的安全保護。2006年1月26日，FTC與Choicepoint達成和解，要求Choicepoint公司安裝一個綜合性的信息安全程序，并在未來20年，每年都由獨立第三方進行安全審計。另外，Choicepoint支付1500萬美元的民事賠償以及500萬美元的用戶補救。

再比如，2009年2月5日，FTC與Compgeeks.com達成和解，要求Compgeeks.com安裝綜合的信息安全程序，確保用戶信息安全，未來20年，每兩年由獨立第三方做一次安全審計。

而無論結果如何，我們在使用Google的云計算產品時有所保留，不把最隱私的內容放在上面，應是明智之舉。

【編輯推薦】

1. “云”安全性遭信任危機 Google Docs現安全漏洞
2. 云計算時代殺毒軟件的生存狀態 
3. 自己動手打造公司內網監管利器
4. 利用HTTP-only Cookie緩解跨站點腳本攻擊
5. PWN2OWN黑客大賽2009到底有哪些猛料？