Banyak orang menganggap layanan Google bermanfaat dan mudah digunakan, tetapi mereka memiliki setidaknya satu fitur penting. Kami berbicara tentang pemantauan terus-menerus dari pengguna, tentang pengumpulan intensif dan pengiriman data pada aktivitas mereka.Tidak semua pengguna dapat membayangkan jenis data apa yang dikumpulkan perusahaan, dan dalam volume apa. Tetapi banyak yang secara mendasar terkait dengan kerahasiaan mereka, dan beberapa siap untuk merasakan pelanggaran rahasia privasi bahkan dalam mengirim log dengan informasi teknis murni. Namun, kadang-kadang pengguna yang benar-benar maju mengambil jalan untuk memerangi Google.Pada 25 Mei 2018, Peraturan Perlindungan Data Umum GDPR mulai berlaku , undang-undang yang diadopsi oleh Parlemen Eropa yang memperketat dan menyatukan aturan perlindungan data pengguna. Uni Eropa telah membuat keputusan ini karena semakin banyak kebocoran data pribadi yang dikumpulkan oleh raksasa TI seperti Google dan Facebook. Namun, pada kenyataannya, undang-undang ini telah mempengaruhi tidak hanya warga negara Uni Eropa, tetapi juga seluruh dunia.Namun, banyak layanan Internet, yang bekerja di berbagai negara, berusaha memenuhi persyaratan privasi paling ketat. Jadi, GDPR telah menjadi standar dunia de facto.Jadi google di sana
Pada hari Selasa, 4 Februari 2020, Arno Granal, pengembang peramban Kiwi yang berbasis Chromium, mengangkat masalah meloloskan apa yang disebut "pengidentifikasi unik" yang dihasilkan Google Chrome selama pemasangan. Granal menyarankan bahwa setidaknya Google sendiri dapat menggunakannya.Dia dan beberapa pengguna lain menyarankan bahwa ini adalah pintu belakang yang bisa dia gunakan untuk keperluannya sendiri. Dan dalam hal ini, kita dapat berbicara tentang pelanggaran undang-undang GDPR, karena pengidentifikasi unik ini dapat dianggap sebagai data yang memungkinkan Anda secara unik menetapkan identitas pengguna.Google belum mengomentari masalah ini. Dan dokumen resmi dan pesan lain dari perusahaan tidak memungkinkan untuk sepenuhnya mengklarifikasi situasi.Bagaimana itu bekerja
Ketika browser meminta halaman web dari server, ia mengirimkan permintaan HTTP yang berisi satu set header, yang merupakan pasangan nilai kunci yang dipisahkan oleh titik dua. Header ini juga menentukan dalam format apa data harus dikirim. Contohnya,accept: text / html
Sebelumnya (setidaknya sejak 2012), Chrome mengirim tajuk yang disebut "data-X-klien", juga dikenal sebagai "variasi-X-chrome", untuk menguji fitur yang sedang dikembangkan. Google akan mengaktifkan beberapa fitur ini ketika menginstal browser. Informasi tentang mereka ditampilkan ketika Anda mengetik chrome: // versi di bilah alamat Chrome.Variations: 202c099d-377be55a
Pada baris 32 file sumber Chromium, header data-X-klien mengirimkan informasi Google Field Trials untuk pengguna Chrome saat ini."Header Variasi-Chrome (data-klien-X) tidak akan berisi informasi yang dapat diidentifikasi secara pribadi dan hanya akan menjelaskan opsi pemasangan untuk Chrome itu sendiri, termasuk variasi aktif, serta data percobaan sisi-server yang dapat memengaruhi instalasi." , Mengatakan Panduan Fitur Google Chrome .Namun, ini tidak sepenuhnya benar.Untuk setiap pemasangan, Google Chrome secara acak menghasilkan angka dari 0 hingga 7999 (hingga 13 bit). Angka ini sesuai dengan serangkaian fungsi eksperimental yang diaktifkan secara acak.Semakin sedikit bit yang kosong, semakin sulit untuk membuat sidik jari browser dengan tingkat keunikan yang tinggi, dan sebaliknya. Tetapi jika Anda menggabungkan data ini dengan statistik penggunaan dan laporan kerusakan, yang diaktifkan secara default, maka bagi sebagian besar pengguna Chrome Anda masih bisa mendapatkan sidik jari dengan akurasi yang cukup tinggi.Sidik jari "ditentukan oleh alamat IP, sistem operasi, versi Chrome, dan parameter lainnya, serta parameter instalasi Anda," Granal menjelaskan.Jika Anda, misalnya, mengunjungi YouTube, tajuk akan menyertakan baris formulir:X-client-data: CIS2yQEIprbJAZjBtskBCKmdygEI8J/KAQjLrsoBCL2wygEI97TKAQiVtcoBCO21ygEYq6TKARjWscoB
Anda dapat memeriksanya sendiri jika Anda membuka konsol pengembang di Google Chrome, lalu tab Network dan kemudian pergi ke youtube.com, atau doubleclick.net misalnya.Menurut Granal, hanya youtube.com , google.com , doubleclick.net , googleadservices.com dan beberapa layanan Google lainnya yang memiliki akses ke pengidentifikasi tersebut . Tetapi hanya jika browser tidak dalam mode penyamaran.Pertahanan terbaik
Jika hanya Google yang memiliki akses ke data klien-X, ini dapat mengindikasikan bahwa perusahaan melindungi data pengguna dari semua orang kecuali dirinya sendiri.Lukas Oleinik, seorang peneliti dan konsultan independen tentang perlindungan data pribadi, percaya bahwa fungsi ini dapat digunakan untuk tujuan pribadi, meskipun sangat mungkin bahwa itu dibuat untuk melacak masalah teknis.โSaya percaya bahwa sebagian besar pengguna tidak tahu tentang pengenal ini, apa fungsinya, dan kapan digunakan. Dan mungkin masalahnya adalah pengidentifikasi tetap konstan dan tidak diatur ulang saat pengguna menghapus data browser. Dalam hal ini, itu dapat dianggap sebagai jejak. [Sejauh ini] risiko utama adalah bahwa data dikirim ke situs yang dikelola hanya oleh satu organisasi. "
Granal mencatat bahwa mekanisme transfer data seperti itu dapat dianggap sebagai kerentanan. Kode sumber Chromium hanya mengimplementasikan verifikasi dari daftar domain Google yang telah ditentukan, tetapi tidak memeriksa domain lain. Oleh karena itu, penyerang dapat membeli domain, misalnya, youtube.vg, dan menggunakan situs web untuk mengumpulkan tajuk data klien-X.Fitur Tidak Terdokumentasi
Pada Agustus 2017, para ahli Kaspersky Lab menemukan pintu belakang di NetSarang, sebuah perangkat lunak populer untuk mengelola server perusahaan. Backdoor ShadowPad ditemukan dengan menganalisis permintaan DNS yang mencurigakan di jaringan perusahaan dari salah satu perusahaan terbesar yang menginstal perangkat lunak. Melalui pintu belakang, penyerang memperoleh akses ke data rahasia organisasi yang menggunakan NetSarang.Perusahaan pengembang mengatakan bahwa mereka tidak tahu apa-apa tentang hal ini, dan kode berbahaya diperkenalkan ke dalam produk mereka oleh penyerang yang tidak dikenal. Namun, setelah pintu belakang ditemukan, para pakar NetSarang curiga dengan cepat menghilangkan kerentanan.Apakah perusahaan sering menutup mata terhadap peluang tidak berdokumen seperti itu?