Google的云计算，你真的安全吗？

Google文档在3月7日发生了大批用户文件外泄事件。美国隐私保护组织就此提请政府对Google采取措施，使其加强云计算产品的安全性。

云计算可以让用户在全球任何一个角落更新文档，并与他人共享。

如果你是Google文档的用户，在不知情的情况下，你的许多文件突然出现在别人的账户里，别人可以随便查看，这时，你会有什么感受？

这不是一个假想。3月7日，全球众多的Google文档用户就十分错愕地发现别人的文档居然“不期而至”。

这些用户打开账户后，发现了不少陌生的文件。事实上，这些陌生文件的主人此时可能还不知道，自己的文件已经“共享”给了别人。

当天，Google发现了这个问题并迅速进行了处理。此后，用户再打开账户时，一切恢复正常，只是多了一封Google的致歉信。

不过，专注于隐私保护的组织这次没有放过Google。3月17日，美国的电子隐私信息中心（Electronic Privacy Information Center，下称EPIC）向监管机构申诉，Google的云计算产品在保护用户隐私方面做的不够，要求对Google进行调查。同时，EPIC要求FTC（Federal Trade commission，联邦贸易委员会）禁止Google提供云计算服务，直到后者的安全措施落实到位。

云计算已经越来越成为我们生活的一部分。这方面，Google做得最大，已有的云软件包括：Gmail、Google文档、桌面搜索、Picasa照片在线存储和Google日历等。今年2月，Google还发布了Google Voice，它可以把电话声音邮件传输到指定的邮箱。

Google的“云”是否足够安全，确实值得我们用户好好关心一下。

安全漏洞

3月7日，遭遇信息外泄的Google文档用户都收到了落款为“Google文档小组”的致歉信。

“亲爱的Google文档用户，我们想让你知道你的Google文档账户发生的事。我们已经发现并修改了一个漏洞，它让你在不知情的情况下，把你的文件与别人分享。”信在开头说。

Google说，出现问题的文件占全部文件的0.05％。考虑到Google文档的用户数量庞大，问题文件的绝对数量十分可观。

据Google宣称，这些文件意外泄露给的对象，限于现在或以前与你曾经有过分享关系的人。泄露的文件限于Docs和Presentations，对于Spreadsheets没有影响。

Google通过一个自动的程序，把受到影响的文件的分享者予以了屏蔽。因而，如果这些文件原本是与别人分享的，用户本人需要手工再去作一次分享的操作。Google则把受到影响的文件为用户单列了出来。

最后，Google作了诚挚的道歉。

但是，隐私组织EPIC对于Google的道歉并不买账。EPIC执行董事Marc Rotenberg在声明中说，Google文档的数据泄露表明，Google安全措施的不足，云计算服务存在风险。

3月17日，EPIC向FTC递交了申诉材料。

在材料中，EPIC说，在本次事件之前，已经发生过数起事件，足以证明Google安全防范措施的不足。

2005年1月，研究者发现了Gmail里的几个安全漏洞，令用户名和密码很容易被盗窃，外来者可以窥探用户的电邮。

2005年12月，研究者发现Google桌面以及IE浏览器的一个漏洞，令Google用户的个人数据很容易暴露给恶意网站。

2007年1月，安全专家发现在Google桌面存有一个安全漏洞，有恶意的人不仅可以远程持续地侵入Google桌面用户的敏感信息，甚至可以控制用户的整个电脑系统。

经常性错误

Google云计算产品出现意外确实不稀奇。一篇作者名为Tim Bass的博客描述了博主在2008年9月15日遇到的Google文档意外。

“我是Google的粉丝”，Tim Bass写道，“我很早就用上了Google文档，并享受由此带来的自由。比如，我记录商业花费时，用Google Spreadsheet，比起用微软的Excel方便许多。因为我可以在全球任何一个角落更新，而且直接与公司的财务人员共享。所以最近我一直用Google文档。”

“但是，今天，我发现了一个很大的安全漏洞。在我的账户里，我突然发现了许多不属于我的文件。”Tim Bass把几份不属于他的文件复制了出来，贴在博客里。

Tim Bass与其中一个文件的主人联系，结果对方是个泰国人。而那个泰国人也表示，在自己的账户里发现了不属于自己的文件。

几个小时后，一切回归了原状。

EPIC在申诉材料中说，尽管Google一再保证它的“计算机云”里的文件是安全的，但Google的云计算服务已经受到了数据泄露的侵害。

EPIC说，Google储存和传输文件都是普通的文本，而不是加密的文本。“而在其他的云计算服务提供商中，这些文本都是加密的”。

调查Google

云计算服务正在快速成为美国经济的重要部分。2009年3月的一项研究预计，到2012年，美国本土的公司耗费在云计算上的IT支出将会翻三倍，至420亿美元。

美国人已经越来越多地用到了云计算服务。2008年9月，69％的美国人使用电邮服务、在线信息储存或者使用在线的文字处理软件。

EPIC由此要求FTC发起对Google的调查，要求Google在确保安全措施到位前，不得提供云计算服务。

EPIC把Google告到FTC，结果会如何？

FTC有几次让IT企业加强了数据安全措施的先例。

比如，2005年，FTC裁定，Choicepoint不能为它的16.3万名用户的敏感信息提供有效的安全保护。2006年1月26日，FTC与Choicepoint达成和解，要求Choicepoint公司安装一个综合性的信息安全程序，并在未来20年，每年都由独立第三方进行安全审计。另外，Choicepoint支付1500万美元的民事赔偿以及500万美元的用户补救。

再比如，2009年2月5日，FTC与Compgeeks.com达成和解，要求Compgeeks.com安装综合的信息安全程序，确保用户信息安全，未来20年，每两年由独立第三方做一次安全审计。

而无论结果如何，我们在使用Google的云计算产品时有所保留，不把最隐私的内容放在上面，应是明智之举。