มีรายงานจาก Wall Street Journal ว่านักพัฒนาจาก Third-party สามารถเข้าไปอ่านอีเมลของผู้ใช้งาน Gmail นับล้านคนได้ เนื่องจากเทรนการใช้ AI เพื่อการช่วยเหลือ เช่น การอ่านอีเมลและนัดหมายอัตโนมัติ (ง่ายสุดเลยเราลองดูเมลตั๋วเครื่องบินจะจอง Google Calendar ของเราได้) หรือแอปอื่นที่มีความต้องการคล้ายกัน ซึ่งทาง Google ก็ทำให้ง่ายขึ้นด้วยการเปิด API ให้นักพัฒนาเหล่านั้นเข้าถึงบัญชี Gmail
ด้วยเหตุการมาของ AI ที่ยกตัวอย่างมาแล้วในข้างต้น ซึ่งแม้ว่าจะมีคำเตือนปรากฏก่อนการแชร์ข้อมูลต่างๆ ก็ตาม แต่สิ่งที่ผู้ใช้งานไม่รู้ก็คือว่าการอนุญาตไม่ได้เป็นการให้สิทธิ์แก่บริษัทซอฟต์แวร์ของ Third-party เท่านั้นเพราะว่านักพัฒนาภายในบริษัทเหล่านั้นก็สามารถเข้าถึงเมลของผู้ใช้ได้แบบ Manual เช่นกัน บริษัทที่รายงานของ Wall Street Journal กล่าวถึงคือ Edison Software ที่อนุญาตให้พนักงานรีวิวอีเมลของผู้ใช้งานหลายร้อยคนเพื่อสร้างสรรค์ฟีเจอร์ใหม่ให้กับซอฟต์แวร์ นอกจากนี้ยังมีนักพัฒนาจากบริษัทอย่าง Return Path ที่สามารถใช้อีเมลเหล่านี้สร้างผลประโยชน์ทางการค้าได้เช่นกัน
อย่างไรก็ตามในนโนบายของ Google ได้กล่าวถึงการแชร์ข้อมูลกับ Third-party แต่ไม่ได้กล่าวอย่างชัดเจนว่าคนอาจจะเข้าไปอ่านอีเมลได้ด้วย เช่นเดียวกับข้อความแจ้งเตือนที่ปรากฎขึ้นเมื่อผู้ใช้เชื่อมต่อกับแอปพลิเคชันภายนอกผ่านบริการต่างๆ ก็ไม่ได้ระบุชัดเจน ในกรณีของ Return Path (บริษัทที่นำข้อมูลอีเมลไปหาประโยชน์) ไม่เพียงแค่ได้รับการเข้าถึงอีเมลตอนที่ผู้ใช้ลงชื่อเข้าใช้แอปพลิเคชันของตนเท่านั้น หากแต่ยังได้การเข้าถึงอีเมลจากตอนลงชื่อเข้าใช้แอปที่ดำเนินการจากบริษัทอื่นด้วยผ่าน Context.IO เพื่อเก็บข้อมูลอีเมลไปพัฒนาบริการให้ดียิ่งขึ้น โดยสิ่งที่บริษัทอย่าง Return Path จะต้องทำตามกฏของ Context.IO คือแสดงการแจ้งเตือนให้ผู้ใช้รับทราบเหมือนตอนลงชื่อใช้บริการเท่านั้น
ในการสัมภาษณ์ผู้ใช้งานในอเมริกาของแอปพลิเคชันที่ถูกอ้างถึงว่ามีการใช้ข้อมูลพบว่าผู้ใช้ยอมรับว่าไม่ได้อ่านนโยบายความเป็นส่วนตัว แม้ว่าข้อนี้อาจะโทษฝั่งผู้ใช้ได้แต่อย่างไรก็ตามความสัมพันธ์ที่สามารถส่งต่อได้นั้นทำให้เรื่องนี้ดูซับซ้อนขึ้น แม้ Google จะบอกผู้ใช้บางส่วนถึงนโยบายความเป็นส่วนตัวเมื่อให้สิทธิ์กับนักพัฒนาของ Third-party เข้าถึงอีเมลแต่ผู้ใช้งานก็ต้องอนุมานเอาเองว่าอาจมีคนเข้าไปอ่านอีเมลได้เช่นกัน
ในการป้องกันตัวเองของผู้ใช้งานตอนนี้ดูเหมือนว่าผู้ใช้อย่างเราเองต้องเข้าไปอ่านนโยบายความเป็นส่วนตัวของนักพัฒนาจาก Third-party เองหากพบว่ามีการแชร์ข้อมูลกัน แต่คำถามมากมายที่เกิดขึ้น ณ ขณะนี้คือ นี่ใช่เรื่องของผู้ใช้งานหรือเปล่าที่ต้องจัดการเรื่องเหล่านี้เอง ทาง Google ควรจะทำให้ชัดเจนในการแชร์ข้อมูลเหล่านี้หรือไม่ หรือควรจะกำหนดขอบเขตของความรับผิดชอบของผู้ใช้และนักพัฒนาให้ดีขึ้นกว่านี้ไหม แม้กระทั่งตอนนี้ Google ควรตอบให้ได้ว่าใครมีสิทธิ์เข้าถึงบัญชี Gmail บ้าง รวมถึงข้อมูล Google อื่นๆ ด้วย หากผู้สนใจต้องการเช็คสิทธิ์ของบัญชี Gmail สามารถเข้าไปตรวจสอบได้ที่ลิงก์นี้ (ต้องล็อกอินอีเมลก่อนนะครับ)
ที่มา : https://nakedsecurity.sophos.com/2018/07/04/someone-else-is-reading-your-gmails/ และ https://www.forbes.com/sites/janetwburns/2018/07/02/google-has-been-letting-app-developers-read-users-gmail-unsurprisingly