Про Google-форми, витік даних і чому «безпечно» не буває «просто в користуванні»

Якщо одна помилка – швидше за все, ненавмисна – дозволяє відкрити персональні дані тисяч людей, то мабуть цей інструмент не варто використовувати для збору та збереження персональних даних.

Фото: Unsplash

Учора соцмережами поширилась інформація про витік особистих даних лідерів громадської думки, які хочуть вакцинуватись залишковими дозами вакцини від коронавірусу. ІТ-аналітик, доцентка школи журналістики УКУ Надія Баловсяк – про те, чому не варто довіряти простим інструментам чутливу і приватну інформацію, а тим, хто збирає такі дані, потрібно навчитись дбати про їх безпеку.

Вакцинація в Україні – мабуть найбільш обговорювана сьогодні річ поруч з локдаунами, статистикою госпіталізацій, Стерненком та приходом весни. Влада вирішила залучати лідерів громадської думки до цього процесу. Я не буду обговорювати сам факт цього рішення, може – пізніше. Так от, щоб знайти цих лідерів, вирішили зробити Google-форми. У них не було жодної згадки про дозвіл на обробку персональних даних, а що, як не обробка персональних даних – передача цієї інформації тим, хто створив форми.

Так ось, Google-форми. Ніби непоганий інструмент, але не для приватних даних. Як написав один користувач: «Ніколи. Точніше, НІКОЛИ не заповнюйте жоден google docs, якщо ви не хочете, щоб ваші телефони, адреси й інші дані з'явились у публічному доступі».

Читайте також: Скандал з блогерами, або Чому батькам треба звернути увагу на фото дітей в соцмережах

Що власне і відбулося. Зміст відповідей до Google-форми оприлюднили у відкритому доступі на сайті одного з міністерств. З усіма персональними даними – домашніми адресами, номерами телефонів, мейлами, поясненням, чому ця конкретна людина є лідером громадської думки.

Швидше за все, під час передачі посилань на Google-форми їх автори зробили одну невелику, проте дуже серйозну помилку. Посилання на Google-форми має вигляд https://docs.google.com/forms/якийсь_текст. А посилання на відповіді - https://docs.google.com/forms/d/якийсь_текст/edit#responses. За другим посиланням є можливість перейти на таблицю Google власне з відповідями. То ж я можу припустити, що під час передачі даних або передавалось посилання типу https://docs.google.com/forms/d/якийсь_текст/edit#responses, або давалось пряме посилання на таблицю з відповідями.

І на сайті міністерства були розміщені прямі посилання на таблиці з відповідями. Тобто персональні дані тисяч людей, які бажали б вакцинуватися, опинилися у вільному доступі. Багато хто їх завантажив, хтось обійшовся скріншотами.

Чи винен в цьому прекрасний інструмент Google-форми? Звісно, ні. Компанія Google наголошує, що цей сервіс не є надійним для передачі важливих даних, до прикладу, для паролів.

Чи винні в цьому ініціатори ідеї запросити лідерів громадської думки на вакцинацію? Мабуть, так.

Але найголовніший висновок з цієї історії полягає, на мій погляд, в тому, що безпека і простота у використанні – це речі непоєднувані. І ця історія з Google-формами це показала. Якщо одна помилка – швидше за все, ненавмисна – дозволяє відкрити персональні дані тисяч людей, то мабуть цей інструмент не варто використовувати для збору та збереження персональних даних.

Цей висновок – урок для всіх, хто захоче за допомогою Google Form збирати чи то персональні, чи то privacy-чутливі, чи інші критичні дані.

Авторська колонка є відображенням суб’єктивної позиції автора. Редакція «Твого міста» не завжди поділяє думки, висловлені в колонках, та готова надати незгодним можливість аргументованої відповіді.

Повна або часткова републікація тексту без письмової згоди редакції забороняється і вважається порушенням авторських прав.