Google: Undskyld, at vi aflyttede dine mails med Street View-bilen

Google er officielt 'rystede' over, at selskabets fotovogne indsamlede adgangskoder, webadresser og i visse tilfælde hele e-mails i forbindelse med registrering af trådløse netværk langs ruterne.

E-mails, webadresser og adgangskoder er røget op til Google Street View-bilernes wifi-støvsugersnabel. Det oplyser Google på selskabets officielle blog.

»Vi er rystede over, hvad der er sket,« skriver udviklingschef Alan Eustace fra Google.

Googles Street View har udviklet sig til en speget sag om privatliv for internetgiganten. Selskabets fotovogne har ikke blot registreret GPS-koordinater og taget panoramabilleder fra gadeplan, bilerne har også registreret de trådløse lokalnetværk, som billederne er kørt forbi.

Det er data, som kan bruges til at hjælpe med at bestemme brugerens position, hvis der eksempelvis er problemer med at få tilstrækkelig GPS-dækning.

Men Googles logning omfattede ikke blot en registrering af, hvilke netværk der var tilgængelige. I forbindelse med registreringen blev der indsamlet datastumper af trafik fra netværkene.

I første omgang afviste Google, at der kunne være personlige oplysninger blandt de tilfældige data, men en række analyser af datamaterialet har nu vist, at der både er indsamlet hele e-mails, webadresser og adgangskoder.

Google har endnu ikke slettet data, hvilket man ud fra selskabets oplysninger må formode skyldes, at sagen fortsat er ved at blive undersøgt af eksterne parter. I blogindlægget oplyser Google, at selskabet ønsker at slette dataene hurtigst muligt.

»Vi ønsker at slette dataene hurtigst muligt, og vi vil gerne undskylde for, at vi indsamlede dem i første omgang,« skriver Alan Eustace.

Ud over wifi-aflytningen er Googles Street View-tjeneste også i modvind i flere lande, hvor private borgere er utilfredse med, at deres hjem er fotograferet af bilerne. Derfor vil de have Google til at fjerne billederne.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (32)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Ove Andersen

Selvfølgelig er det forkert det Google har gjort, men det pointerer jo også et problem som måske skal tages mere seriøst, netop beskyttelse af ens data når de passerer luften.

For hvis Google kan køre rundt og samle data, og de frit ud fra de data kan aflæse emails osv., så er det jo fordi der et problem med beskyttelse af vore trådløse signaler.

Er det fordi folk ikke krypterer deres netværk, eller?

Hvis Google kan, så kan enhver IT kyndig person jo også. Vil du dele dine mails med alle IT kyndige?

Så når vi nu har skældt Google ud, og de har fået deres straf eller hvad det nu ender med, skal vi så ikke også give dem et uofficielt tak for at pointere et problem som åbenbart bliver overset.

  • 1
  • 0
Lars K. Hansen

Det er rystende at de overhovedet kan komme ind og læse en mail???

Der er vist nogen som skal kigge grundigt i spejlet og spørge sig selv om de virkelig skal have et trådløst netværk...

Skjult WPA2, ingen DHCP og MAC filtrering på er en god start. Jeg ved godt at intet trådløst netværk er 100% men det er da en start.

Google skal have en straf og bagefter en belønning for at få dette frem i lyset.

  • 0
  • 0
Jan Vennike

"Google skal have en straf og bagefter en belønning for at få dette frem i lyset."

Øhh - HVAD ???

Jeg lader min plæneklipper stå i forhaven - tyven der så kommer og stjæler den skal have en straf - og bagefter en belønning for at vise mig at jeg skal gemme den væk.

Men - vi er så også enige derhen at man skal låse sine trådløse netværk - men det gør det altså ikke til en OK handling at stjæle data fra det ...

  • 0
  • 1
Flemming Frandsen

Hvis man ikke har lyst til at alle skal kunne se ens data skal man lade være med at sende det i hovedet på dem.

Det Google har gjort er sikkert blot at logge alle pakker de modtog, så de bagefter kunne lave analyse på dataene, selv om de eneste de havde brug for at gemme var SID'en og MAC addressen på AP'en, så er det alligevel nemmere at logge alt og kigge på det bagefter.

  • 1
  • 0
Flemming Frandsen

Der er ingen der har stjålet data fra noget trådløst netværk.

Google har blot logget pakker som folk frivilligt har sendt til dem, det er selvfølgelig lidt fjollet at de ikke har filtreret data og kun gemt det de havde brug for.

Hvis din plæneklipperanalogi skulle virke så ville det være noget med at du ikke kan tillade dig at være sur over at din nabo kan høre at din plæneklipper larmer.

  • 0
  • 0
michael jensen

Skjult WPA2, ingen DHCP og MAC filtrering på er en god start. Jeg ved godt at intet trådløst netværk er 100% men det er da en start.

ja og så lige en sølvpapirshat, en kaninfod og en hæstesko ude forand døren.

tag nu lige at slappe af.
der er i mine øjne ingen tvivl om at der er tale om trafik på ukrypterede netværk, hotspots osv.

der er ingen tvivl om at der er ganske mange der har købt et accespunkt og bare slået det til.

wep kryptering kræver at man har de rette programmer, men kan derefter brydes på under et minnut hvis der bruges en svag kode.

wpa kryptering tager altså nogle timer som minimum og tager mange timer hvis der bruges en stærk kode.

wpa2 er en smule stærkere end wpa men dog ikke den hellige gral. en wpa kryptering med en 10 tegn kode kan være sværere at bryde end wpa2 med 8 tegn.

dog så kræver både wpa og wpa2 et ubrudt datasæt i flere timer (ca 8-10 timer) for at det er realistisk at bryde krypteringen og få brugbart data.

forøvrigt så vil disse mails som kan være opsnuset via disse ukrypterede net i forvejen være blevet sendt ukrypteret på nettet, så det ville nu nok være muligt at sniffe denne data ganske nemt alligevel.

  • 0
  • 0
Henrik Rosenørn Johannesen

Det kræver en bevidst og ret kompliceret indsats at sniffe- aflytte og logge WiFi data, så det er ikke nogen fejl som google skriver.

Fejlen består nok mest i at det blev opdaget!

Men ja: Det er sløset ikke at kryptere sit netværk. Lige så sløset som at lade plæneklipperen stå fremme og lige så strafbart at stjæle den!

Det eneste problem er at man skal kunne dokumentere et tab eller skade for at kunne politianmelde eller lægge sag an for en handling.

Mvh Henrik

  • 0
  • 0
Robert Larsen

Det kan godt være, at vi smider om os med data, men det giver efter min mening ikke Google eller nogen anden ret til at opsamle og lukrere på dem.

Det ville heller ikke være god stil, hvis jeg gik rundt og tog billeder af biler, og hvad der er synligt gennem deres ruder og så lagde disse informationer på nettet med et koordinat...heller ikke selvom det er offentligt tilgængelige informationer.

  • 0
  • 0
Klavs Klavsen

Sikken noget vrøvl!

De kørte rundt og filmede og scannede imens bevidst efter hvilke netværk der var i nærheden - og den hurtigste måde at gøre det på (når man er i konstant bevægelse) vil jeg egentlig også formode er bare at gemme alle 802.11a|b|g|n(wifi) pakker man modtager (med info om inden for hvilken koordinatkvardrant de var modtaget) - og så senere se i dem, efter SSID's - så man kan bruge tilstedeværelsen af et eller flere bestemte SSID - til at regne ud hvor din computer befinder sig (og det er netop de de kan idag).

Det er såvidt jeg ved, fuldt ud lovligt at gemme alle de data man modtager - det er tilgengæld nok ikke lovligt at forsøge at knække evt. krypteringer - da man jo nok lovmæssigt skal formode at det er private data.

Jeg ser ikke at de har forsøgt at knække data - men en del har jo nok "glemt" at slå kryptering til - på de data de smed ud i hovedet på folk.

  • 0
  • 0
Søren Dybro

Tænk sig at man stoler så meget på et foretagende som Google, at man kan sige at det er da helt ok at det samler alle de data sammen.

Prøv lige at tænke på hvis de begynder at sammenkøre alle de data de har...
Søgninger, data i dokumenter i google docs, google mail osv.

Men det gør de jo ikke, det er jo google og de giver os det hele gratis...

  • 0
  • 0
Klavs Klavsen

Jeg stoler bestemt ikke på google - men må forholde mig til at de tilsyneladende har haft lov til at indsamle disse data, jf. vores nuværende lovgivning.

Hvis man ikke ønsker at kryptere sin wifi-kommunikation, men hellere ser det gjort ulovligt (omend det IMHO vil være umuligt rent faktisk at fange nogen for denne forbrydelse) - så synes jeg bare man skal begynde at lobbyere for det.

Jeg forventer som sagt ikke at de giver sig i kast, med at dekryptere selv den ringe WEP kryptering og jeg selv, kan såmænd godt finde ud af at sikre mit wifi.

  • 0
  • 0
Jesper Lund

Udover indhold af wifi pakker, som må være åbenlyst ulovligt, har Google bilerne systematisk registreret SSID/MAC adresser i kombination med geolocation information. Der er mange misbrugsmuligheder i den information (som dokumenteret her på version2.dk i august), og jeg mener ikke at det er afklaret om Google havde lov til dette. Google spørger jo aldrig om lov: de handler bare og håber at det ikke bliver opdaget.

En SSID/MAC+geolocation database kan sidestilles med en database over hvilke biler (nummerplader) der holder parkeret hvor. Det tvivler jeg på at man må, og Google slører som bekendt nummerplader i deres streetview fotos.

Nu vil Google tilsyneladende fjerne wifi scanneren fra deres biler, men Google vil stadig modtage SSID/MAC fra andre brugere. Her vil Google sikkert sige at der foreligger et samtykke, men folk videresender også deres naboers SSID, og man kan umuligt give et samtykke på sine naboers vegne.

  • 0
  • 0
Jacob Pind

skulle det ikke være lovligt at lytte efter wifi pakker, så har alle operativ systemer et problem, de kigger nemlige efter om der er pakker med SSID, hvilket er registere på samme måde.
Hvis folk har et problem med det skal de enten ikke havde et trådløst net eller efterspørge nogen med lav sende styrke så de ikke plaster hele nabolaget til med deres data.

  • 0
  • 0
Jesper Lund

skulle det ikke være lovligt at lytte efter wifi pakker, så har alle operativ systemer et problem, de kigger nemlige efter om der er pakker med SSID, hvilket er registere på samme måde.

Google har altså gjort lidt mere end blot at "lytte" efter wifipakker og SSID/MAC information. Google har lavet en systematisk registrering af disse ting sammen med geolocation information (en kombination som let kan misbruges), og Google stiller disse data til rådighed for offentligheden (hvis de leverer nye data til Google som "modydelse").

Mit OS laver ikke nogen systematisk logning af wifi information, og eventuelle logfiler bliver ikke offentliggjort til andre eller solgt videre.

Du må selvfølgelig gerne kigge på nummerplader når du går rundt i byen, men dermed ikke sagt at du må lave en database over hvilke biler der holder parkeret hvor, og offentliggøre denne database eller sælge den videre.

Har Google anmeldt deres registrering til Datatilsynet med henblik på at opnå godkendelse?

  • 0
  • 0
Jens Schumacher

Måske tager jeg fejl men jeg har altså forstået det således at datatilsynet skal holde styr på registre med personfølsomme oplysninger.
Jeg kan ikke se der er personfølsomme oplysninger i MAC addresse + koordinat.
At de så har logget for meget data er selvfølgelig et problem (og google har jo også beklaget det) men det svarer altså mere til at optage en samtale på et offentligt sted end at "stjæle" ting.

Forresten kunne det være sjovt hvis google lavede en hurtig analyse af de opsnappede mails of fandt ud af hvor mange % af dem der er sendt til eller fra gmail (for i de tilfælde kan det jo være ret ligegyldigt).

  • 0
  • 0
Jacob Pind

Ders bil som tager billere logger selvf gps kordinater, og klokken, at de samtidigt har indsammlet fri data som de kunne modtage, istedet for at gribe tilbage paa data fra 3rd parts firmaer.
Google er jo ikek de først som har gjort det, i flere år har man kunne kigge mac address på wifi udstyre op og se deres placering, iphone og co, tilbyder også denne funktion.

Bruger man trådløs komminikation har man ingen kontrol over hvor ens data ryger hen, uanset hvad du bruger wep, wpa.
Dataen kan behandles senere med f.eks http://www.elcomsoft.com/ewsa.html.

hjælper meget lidt at ville find en lov som ulovligegøre den slags her, bedre er det at forklare folk at de skal kryptere og hvordan de gør.

  • 0
  • 0
Jesper Lund

Måske tager jeg fejl men jeg har altså forstået det således at datatilsynet skal holde styr på registre med personfølsomme oplysninger.
Jeg kan ikke se der er personfølsomme oplysninger i MAC addresse + koordinat.

En nummerplade er vel isoleret set ikke personhenfør, men den kan gøres personhenførbar senere. Når Google slører nummerpladerne på streetview billederne, er det garanteret fordi Google er forpligtet til det.

SSID+geolocation kan bruges til at afsløre hvor du præcist er (langt mere præcist end din IP adresse), hvis et fjendtligt website får adgang til din access point MAC. Det kunne ske ved en bug i browseren eller din router (så samtykke delen springes over når du sender geolocation informationen til andre). I sig selv vil en sådan bug være ganske harmløs, men problemet eskalerer på grund af Google's systematisk database. Diverse voldelige stalkere vil også få nemmere ved at jagte ex-kærester som er flyttet til en ny hemmelig adresse. Når ex-kæresten tænder sit AP, går der ikke længe inden den nye "hemmelige" adresse er offentlig tilgængelig...

Det er omvendt svært at se noget sagligt formål for denne registrering. Hvis folk ønsker en geolocation bestemmelse af dem selv (og at dele denne info med Google), kan de anskaffe sig en GPS enhed. Der er ingen grund til at misbruge andres access points, specelt når dette medfører potentielle væsentlige ulemper for dem hvis MAC/SSID bliver registreret uden samtykke.

Så vidt jeg ved tilbyder Google mig ikke en gang en out-out mulighed, modsat robots.txt på søgemaskinen eller X-Archive-No: Yes headeren på Usenet?

Det er rigtigt at jeg ikke teknisk kan forhindre Google i at registrere dette, men det er ikke det samme som at det er acceptabelt (og igen: har Google anmeldt deres registrering til Datatilsynet?). Jeg kan heller ikke forhindre andre i at male grafitti på min ejendom i nattens mulm og mørke, men det gør ikke grafitti lovligt.

Den tekniske diskussion af hvad man kan og ikke kan er irrelevant her. Hvis Google er en seriøs virksomhed, overholder de dansk lov, og så er spørgsmålet hvad man "må". Det mangler vi stadig at få afklaret.

  • 0
  • 0
Jesper Louis Andersen

Men det gør de jo ikke, det er jo google og de giver os det hele gratis...

Når noget er gratis på internettet er det fordi du er produktet som bliver solgt.

Googles produkt er at forbinde virksomheder til mennesker som kunne være interesserede i virksomhedens produkter. Det vil virksomheder gerne betale penge for - hvad de har gjort i årevis gennem reklamer.

  • 0
  • 0
Jesper Lund

hjælper meget lidt at ville find en lov som ulovligegøre den slags her, bedre er det at forklare folk at de skal kryptere og hvordan de gør.

WPA2/AES kryptering med 63-tegn nøgler vil ikke gøre nogen som helst forskel. Det er kun payload af dine wifi pakker som er krypteret. MAC og SSID sendes i klartext uanset hvad. Formentlig hjælper det heller ikke noget overfor Googles spionbiler at du disabler SSID broadcast (hvilket har den ulempe at dine wifi klienter måske holder op med at fungere).

I lovgivningen om trådløs kommunikation skelnes der blandt andet mellem at modtage denne (hvilket du ikke teknisk kan forhindre) og videregivelse af informationen til andre (hvilket indebærer at aktivt valg hos modtageren, og derfor er noget som man i høj grad kan regulere via lovgivningen). Google videregiver de informationer som de indsamler.

Et åbent access point hos din nabo er ikke det samme som en accept af at misbruge naboens internetforbindelse. Men teknisk kan du gøre det..

  • 0
  • 0
Jacob Pind

Google har jo ikke i sinde eller har vidre givet den personlige dele af den opsnappede data, vi kan vel godt blive enige om at ssid/mac ikke kan betagtes som værerende personligt på nogen måde.

Eneste mulighed er vel frem over at google meddelere frem over hvornår de vil komme forbi så folk kan slukke deres wifi, pakke huset ind. hvis de tror at deres privatsfære strækker sig ud over grundstykke.

"Et åbent access point hos din nabo er ikke det samme som en accept af at misbruge naboens internetforbindelse" Kan man jo ikke se om det er eller ej, nu har vi mig bekendt ikke haft nogen sag, hvori det er blevet stadfæstede at det er ulovligt at bruge et sådan.

  • 0
  • 0
Jesper Lund

Google har jo ikke i sinde eller har vidre givet den personlige dele af den opsnappede data, vi kan vel godt blive enige om at ssid/mac ikke kan betagtes som værerende personligt på nogen måde.

Nej, det kan vi ikke.

I betragtning af at en MAC/SSID+geolocation database kan bruges til at identificere min fysiske location mod min vilje (meget mere præcist end min IP adresse), så synes jeg i allerhøjeste grad at det er en personlig oplysning. Hvor jeg bor er ikke en oplysning som jeg ønsker at dele med hvem som helst.

Jeg kan ikke se nogen forskel i forhold til en database med nummerplader og hvor bilerne holder parkeret om natten.

  • 0
  • 0
Christian E. Lysel

LARS HANSEN, 25. OKTOBER 2010 10:54

Skjult WPA2, ingen DHCP og MAC filtrering på er en god start. Jeg ved godt at intet trådløst netværk er 100% men det er da en start.

Er det ikke mere sikkert at brække antennerne af og hoppe på strømforsyningen til den går i stykker?

  • 0
  • 0
Jacob Pind

Kan jo godt fornemme at det er geolocation og ikke googles opsnapning af ukrypteret data som er hvad ligger dit på hjeret.
Logning af data er selvf. altid et problem, vores stat gør det i stor stil mod vores vilje også, kan kun forslå at folk skifter mac address på den wireless del af ders access points, er selvf ikke alle firmwares som support den slags, evt kunne man lave en side hvor folk kunne bytte den slags for at lave rigtig rav i den slags databaser.

  • 0
  • 0
Axel Hammerschmidt

Et åbent access point hos din nabo er ikke det samme som en accept af at misbruge naboens internetforbindelse. Men teknisk kan du gøre det.

Men det kan være svært at undgå. Ofte vil ens klientsoftware uden videre forbinde til naboens AP hvis denne er ukrypteret og signalet er stærkere end andres, herunder ens eget.

Er det ikke bare det samme der er sket for Google?

Så er det bare det samme som støj.

  • 0
  • 0
Jesper Lund

Nu er en SSID (i modsætning til en nummerplade) jo IKKE umiddelbart personhenførbar - så at sammenligne geoloc+SSID indsamling til billeder af nummerplader, er vist at sammenligne æbler og pærer.

Vi er enige om at der er forskelle, men i begge tilfælde (nummerplade og ssid/mac) kan oplysningen blive gjort personhenførbar på et senere tidspunkt ved samkøring med nye data. Som udgangspunkt er der ikke fri adgang til centralregisteret for motorkøretøjer, så også her skal der noget mere til for at gøre en nummerplade personhenførbar.

Hvis jeg f.eks. senere giver samtykke til at oplyse mit navn (eller bare fornavn), kan denne oplysning uden mit vidende blive samkørt med min adresse, så jeg reelt har givet et mere vidtgående samtykke.

SSID+geolocation kan desuden bruges til at afsløre min fysiske placering mod min vilje, og Googles data indsamling om mit AP er vel at mærke sket uden mit samtykke, og uden at Google stiller nogen opt-out mulighed til rådighed for mig.

Og igen; har Google anmeldt denne dataindsamling og registrering til Datatilsynet? Eller er det "går den, så går den" igen igen?

  • 0
  • 0
Log ind eller Opret konto for at kommentere