謹慎授權！Gmail被踢爆開後門，百萬用戶信件被看光

在臉書facebook泄露用戶隱私被全世界韃伐之時，二個月前google還宣布我們沒有個資外泄這個問題，但近日卻大反轉。

據海外媒體報道：社群網站臉書泄漏用戶個資鬧得滿城風雨，Google旗下電子郵件服務Gmail也被踢爆開後門，讓第三方軟體開發商檢閱數百萬用戶的收件匣內容，用戶隱私蕩然無存。

Google一年前曾說，將不再用旗下電腦掃描Gmail用戶收件匣，為個人化廣告蒐集信息。Google當時表示，希望用戶｢對Google竭盡所能維護隱私和安全保有信心｣。

但華爾街日報訪談數十名電郵相關程序開發與資料公司的在職與前任員工發現，Google持續讓數百家外部軟體開發商，掃描數百萬註冊使用購物比價、自動化旅遊規劃等郵件相關服務的Gmail用戶收件匣。這些開發商訓練電腦甚至人工閱覽Gmail用戶郵件，Google卻疏於管理。

其中一家開發商名為Return Path。這家公司掃描超過200萬的用戶收件匣，為行銷商蒐集個資。這些用戶是通過Gmail、微軟（Microsoft）或雅虎（Yahoo ）的電郵服務，註冊使用Return Path夥伴網路任一款免費應用程式。

掃描工作一般交由電腦，每天分析約1億封郵件。知情人士透露，兩年前左右，Return Path員工為協助訓練公司軟體，曾閱覽約8000封原始郵件。

另一家Gmail開發商Edison Software的執行長柏納（Mikael Berner）坦承，員工曾為公司閱覽和整理電郵的行動應用程式開發新功能，人工檢閱數百名用戶的郵件。

Return Path的競爭對手eDataSource前技術長羅德（Thede Loder）表示，讓員工閱覽用戶郵件，對蒐集這類資料的公司來說有如家常便飯。他說，eDataSource工程師編寫和改進軟體演算法時，偶爾會檢閱郵件，｢有些人可能覺得這是見不得人的秘密，但現實就是如此。｣

Return Path或Edison都未明確詢問用戶他們能否閱覽郵件，但兩家公司都說，使用者協議涵蓋這項行為，他們對有權閱覽用戶郵件的員工制定嚴格規範。

Google的開發商協議，明文禁止在未經用戶明確同意的情況下，讓其他任何人接觸用戶個人資料。Google制定的規則，也禁止程序開發商製作用戶個資副本，並存在資料庫中。但多家開發商表示，Google沒有認真落實相關規定。

Google表示，只將資料提供給審核通過的外部開發商，而且用戶必須明確同意，開發商才有郵件存取權。Google在書面聲明中說，只有在用戶要求並許可的特殊情況下，如調查程序錯誤或違規情形，Google員工才會閱覽用戶郵件。

但報導指出，外部開發商能自由處理用戶個資顯示，Google與其他科技巨擘即使宣稱加強保護隱私，暗地裡仍開後門給監督規範不同的其他廠商。

臉書（Facebook）多年來讓外部開發商取得用戶個資，今年東窗事發，重創臉書形象。目前沒有跡象顯示，Return Path、Edison和其他Gmail外掛程式開發商像臉書那樣濫用個資，但隱私維權人士和許多科技業高層表示，開放郵件資料存取權，恐釀成類似臉書的個資外泄風暴。

對想把個資用於行銷和其他用途的企業來說，取道電子郵件深具吸引力，因為電郵包含購物史、旅遊行程、財務紀錄和個人通訊。資料探勘公司常在未敘明個資蒐集種類和用途的情況下，利用免費程序和服務，引誘用戶開放收件匣的存取許可權。

根據市場研究公司comScore，Gmail擁有14億用戶；全球電郵活躍使用者中，將近2/3擁有Gmail帳戶。

被認為是｢授權｣開發商看你的Gmail信箱

谷歌（Google）遭踢爆科技公司的｢骯髒秘密｣。谷歌證實，除了機器人外，第三方應用程式開發商有時也可讀取Gmail用戶個人收發的電郵內容，成千上萬用戶的隱私蕩然無存。

Gmail用戶將個人帳號連接第三方應用程式，可能會被迫授權第三方企業員工讀取訊息內容。一家公司告訴華爾街日報，這項慣例很｢常見｣，是業界的｢骯髒秘密｣。

谷歌指出這項作法並不違反其政策。但一名資安專家表示，谷歌竟同意這種事讓人驚訝。谷歌旗下Gmail是全球最熱門的電郵服務，有14億名用戶。

谷歌讓民眾將帳號連接到第三方電郵管理工具，或者旅行規劃、比價等服務。當用戶將帳號連接到外部服務時，會被要求部分授權，通常包含｢讀取、發送、刪除和管理您的信箱｣。

根據華爾街日報，這項授權有時允許第三方應用程式的員工讀取用戶電郵。

雖然訊息內容通常經利用電腦演算法處理，但華爾街日報訪問過多家企業員工，他們表示曾看過｢數千封｣電郵內容。

美國軟體開發者Edison Software表示，為了建立新軟體功能，曾看過數百名用戶的電郵內容。另一家公司eDataSource也說，工程師先前看過電郵內容改善演算法。

這些公司表示，他們並未特別要求用戶授權以觀看Gmail訊息，因為用戶協議中已涵蓋這項作法。

英國薩里大學伍德沃德（Alan Woodward）教授表示，民眾可以花好幾周看用戶條款，裡面可能會提到這件事，但讓第三方公司的員工可以看用戶信箱讓人覺得不合理。

谷歌表示，只有通過檢查的企業才能讀取訊息，而且只有在用戶明確授權取用信箱的情況下才成立。谷歌表示，Gmail用戶可到安全設置檢查頁面，了解連接個人帳號的應用程式，並取消不希望共享數據的程序。