Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Google stuurde video's uit Foto's-app bij exporteren naar verkeerde gebruikers

Google heeft per ongeluk persoonlijke video's van gebruikers van de Foto's-app naar de verkeerde gebruikers gestuurd. Dat gebeurde toen zij hun gegevens ophaalden via Google Takeout. Het is niet bekend bij hoeveel gebruikers dat gebeurde.

Dat bevestigt het bedrijf aan Tweakers nadat Jon Oberheide van beveiligingsbedrijf Duo Security daarover tweette. Verschillende gebruikers hebben een waarschuwing van Google gekregen dat hun video's per ongeluk bij andere gebruikers zijn beland. Dat gebeurde bij het gebruik van Google Takeout. Dit is een service waarbij gebruikers al hun Google-data kunnen exporteren. In Google Takeout is het ook mogelijk alle foto's en video's te downloaden die in Google Foto's zijn geüpload.

Google stuurt inmiddels waarschuwingen naar gebruikers die zijn getroffen. Het incident gebeurde bij gebruikers die Google Takeout tussen 21 tot en met 25 november vorig jaar gebruikten. "Sommige video's zijn geëxporteerd naar de archieven van ongerelateerde gebruikers", schrijft Google in de mail. Het gaat om 'één of meer video's in iemands account'. Foto's zijn niet verkeerd uitgewisseld.

Google zegt ook dat gebruikers wellicht een incompleet archief hebben ontvangen, of dat zij data van andere gebruikers hebben gekregen. Hoeveel gebruikers er precies last hebben gehad van de bug is niet bekend. Volgens een woordvoerder gaat het om 'minder dan 0,01 procent van alle Google Foto's-gebruikers'. Het bedrijf zegt dat het het probleem inmiddels heeft opgespoord en opgelost.

Door Tijs Hofmans

Redacteur privacy & security

04-02-2020 • 11:06

72 Linkedin

Submitter: Magnetic_Man

Reacties (72)

Wijzig sortering
Net mijn archief bekeken die ik toen gemaakt had, toch een kleine 50 video's van iemand anders ontvangen.
Volgens een woordvoerder gaat het om 'minder dan 0,01 procent van alle Google Foto's-gebruikers'.
Dat is volgens mij behoorlijk spelen met de cijfers, alleen de mensen die een export maakten hebben er last van. Hoeveel mensen maken er nou een export?
Wat ik even niet helemaal duidelijk vind is, moet je zelf een export gedaan hebben om de kans te hebben dat jouw videos bij iemand anders terecht komen, of bedoelen ze dat je van random wie videos kan krijgen als je een export doet (dus ook van mensen die geen export gedaan hebben)?
+3
Ik heb een tijd terug ook zo'n export gemaakt, zal eens kijken wanneer de raids klaar zijn met builden. Gaat om circa 2tb aan data.
Hoeveel ruimte ging het om bij jou? Misschien dat het nog samenhangt? Hoe groter de backup o.i.d.? Wel erg ernstig dit, heb letterlijk alles in die cloud staan.

Heb jij het gemeld bij het AP?
Het ging bij mij om ongeveer 300Gb aan data, van google photos alleen. De rest had ik los geexporteerd.
Het flauwe is dat de reden van de export was dat ik de data daar weg wilde hebben, juist om dit soort dingen.

Heb nog geen melding gemaakt, denk wel dat ik dat ga doen.

Had jij ook in die periode een export gedaan? Mijn export was van 23 november.
Exacte datum weet ik nu (nog) niet, maar was eind vorig jaar. Heb toen alles lokaal op de Nas gezet (en encrypted gemaakt).
Mijn raid setup voegt nu 10x6tb samen, wat blijkbaar lekker dagen mag duren, dus op dit moment kan ik er niet bij. Daarna komt het decrypten nog. Ben wel zeer benieuwd. Echt een grove fout. Ik hoop dat je het meldt bij het AP. Dit kan echt niet...
Net meteen op de site van AP gekeken, heb nog nooit eerder wat gemeld en er dus geen ervaring mee.
Volgens AP is stap 1:
Heeft u uw klacht al ingediend bij de organisatie waar uw klacht over gaat? De AP gaat pas met uw klacht aan de slag als u deze eerst heeft ingediend bij de organisatie zelf. Bent u niet tevreden met de reactie van de organisatie op uw klacht? Of heeft de organisatie na 4 weken nog niet gereageerd? Dan kunt u uw klacht indienen bij de AP.

Ik heb vanochtend al een bericht gestuurd naar Google met de klacht dat ik hun reactie ondermaats vind. Ik wil weten welke data van mij dan is gelekt.

Daar moet ik eerst maar even op wachten, of heeft iemand nog tips?
Als nog direct melden bij AP.
Ik heb eens wat gemeld bij de AP, ook zonder melding te hebben gemaakt bij de bank waar het toen der tijd om ging.

Vervolgens netjes bericht gekregen dat de desbetreffende bank op het matje is geroepen en met een nette vervolg brief erbij dat alles in behandeling is genomen.
dank voor jullie feedback, klacht inmiddels ingediend
Aangezien het al in het nieuws is en Google een statement de deur heeft uitgegooid zou ik doorgaan met de klacht melden i.m.o.
Dit dacht ik ook gelijk: misschien is het wel bij 100% van de exporteerverzoeken gebeurd. Dat geeft wel even een ander beeld.
Dat is volgens mij behoorlijk spelen met de cijfers, alleen de mensen die een export maakten hebben er last van. Hoeveel mensen maken er nou een export?
Volgens mij 0,01% :*)
Je kent natuurlijk je eigen usecase en niet die van anderen. Op basis daarvan kun je niet concluderen dat het maar 0,01% is.

Maar ook al is het maar 0,01%.
Bij 1 miljard gebruikers gaat het al om 100.000 personen. Dat is toch een substantieel aantal.
Ik heb ook zo'n email gekregen zoals in het artikel staat omschreven. De functie van exporteren heb ik zeker gebruikt, maar ik heb die export niet goed bekeken voordat ik het heb verwijderd.

Ik vind het bijzonder vervelend als mijn foto's en video bij iemand anders terecht is gekomen; dit spoort mij aan om mijn eigen cloud te beginnen.
Niets staat in je weg om dat te doen. Maar het blijft software, ook je eigen cloud kan lekken bevatten.
In eigen beheer betekend niet meteen meer veiligheid.
" Foto's zijn niet verkeerd uitgewisseld." dus het gaat hier enkel om videos.
Maakt het niet minder erg, maar nuance is wel op zijn plaats. ;)
Als je nog een argument zoekt om geen gevoelige zaken in eender welke cloud te parkeren dan helpt dit akkefietje misschien wel 8)7
Oprechte vraag: waar zou ik mijn foto's e.d. dan wel moeten opslaan als cloud geen optie is, en thuis opslaan te gevaarlijk is (brand, diefstal etc.)
Ik heb een tijdje mijn backups bij een vriend opgeslagen die hetzelfde deed bij mij. Kruislings backuppen dus bij iemand die je vertrouwd. De kans dat je allebei tegelijkertijd getroffen wordt door dataverlies is redelijk klein. Die persoon moet dan natuurlijk niet direct naast je wonen want dat garandeert weinig bij brand. Bovendien heb je beiden een nette upload verbinding nodig om binnen redelijke tijd grote backups te maken. Lang leve glasvezel. En iedereen zich maar afvragen waarom je nu precies zo'n snelle upload nodig hebt.

Een andere optie is wel in de cloud, maar dan goed versleuteld. Dat betekend overigens dat je je foto's niet zomaar terug kunt kijken. Iets wat met bijvoorbeeld Google Foto's juist wel kan en soms ook wel prettig is. Een goede methode om online backups te versleutelen is Duplicati.

[Reactie gewijzigd door 3raser op 4 februari 2020 13:53]

Een goede oplossing is om beide te doen. Google Photos voor het gemak en snel door je foto's kunnen scrollen en zoeken en een dergelijke oplossing als Duplicati zodat je niet volledig afhankelijk van Google bent en een backup hebt (los van Google).
Het idee was juist om Google te vermijden in verband met de problemen die in het artikel worden genoemd. Maar inderdaad, een dubbele backup is natuurlijk een hele goede methode.
Tsja, het blijft software en het hangt aan het internet...
Ik snap dat het niet leuk is als het gebeurt maar dit soort dingten gebeuren nu eenmaal, maakt niet uit of het Google is of iemand anders.
Of je eigen cloud blijkt lek, of je wordt gehacked.
Het is vervelend en het gebeurt zelden, maar het gebeurt...
Risico van het leven.

En Google zal zich uiteraard best even op de kop slaan want dit willen zij ook niet.
Op een draagbaar medium die je op een andere locatie bewaard, bij je ouders / goede vriend bijvoorbeeld.
Dus je slaat alles op op 3 USB-stick die je bij verschillende familieleden en vrienden bewaart, zodat als het ergens brandt je niet alles kwijt bent. En hangt er een grote sticky note op met "dit zijn al mijn persoonlijke foto's. afblijven hoor!", want een random schoendoos bij 3 andere mensen thuis zijn beter voor je data security/privacy dan de cloud...? :*)
Ooit gehoord van het versleutelen van je USB-stick/externe HDD?
Dat zou pioneer nu eens mogen gaan supporten op hun cdjs zodat die muziek veilig kwijt geraakt kan worden.
Precies, gewoon versleutelen met VeraCrypt en dan kunnen zelfs state-actors als de NSA er niet meer bij als ze zouden willen. Alleen niet je wachtwoord onnodig C0mPl3x maken en vergeten.
RobinJ1995: Ik hoop dat je weet dat back-ups opslaan op een flash drive geen goed idee is?

Life extension of flash media is possible by “refreshing” the stored charge in the data cells, but I do not know of any utility programs that can do this.

If you were to read the contents of each “sector” of the media and then rewrite the data back into the exact same sector locations, you would renew the charges and give your data in flash media another 5–10 years of life extension.

Though flash media tends to store data in larger blocks than a 256-byte or 4096-byte sector, so this refreshing would involve reading a full data block, then erasing and rewriting back to the exact same data block.

(A manual route is to copy everything off of a flash card or SSD, format the card/SSD, then copy everything back on it.)


Bron:
https://www.quora.com/Why...share=b1f3aa19&srid=ukuLb
Wat ik zelf doe:
- PC
- File History op drive aan de PC
- NAS
- Offline backup

De eerste drie kunnen bij brand verloren gaan want allemaal in dezelfde woning, hoewel ik zal proberen de NAS of de FileHistory drive mee te grissen als ik de kans krijg.
Offline backup ligt ergens anders, buiten mijn appartement, wordt wekelijks bijgewerkt vanaf NAS.

[edit v,w,b. diefstal en privacy]
PC en FileHistory zijn encrypted met BitLocker
NAS en Offline backup (5 TB schijf) zijn encrypted met Synology protocollen.
Sleutels zitten in een Keepass database kopie op mij iPhone die ik mee hoop te kunnen nemen als het brandt .....

[Reactie gewijzigd door hp-got op 4 februari 2020 13:27]

Dit is ook ongeveer de manier hoe ik het doe :) Zouden meer mensen moeten doen.

Zorg alleen dat de sync tussen NAS en PC niet realtime is, anders ben je minimaal een week data kwijt bij een cryptolocker :)
Ik sync de boel een keer per week, en de PC kan niet zomaar bij de encrypted backup folders op de NAS, dat regel ik per sessie.
Verder denk ik (hoop ik....) dat Protected Folders van Windows Security i.c.m MalwareBytes real time protection de meeste ellende tegenhoudt.
De moment dat je Windows in een zin zet zou je het woord security niet meer mogen gebruiken :)
Cloud is wel zeker een optie, maar dan moet je er een nemen met zero-knowledge encryption. Dat betekent dat de gegevens client-side versleuteld worden met een sleutel die alleen jijzelf hebt. Ikzelf gebruik al jaren Tresorit (naar tevredenheid). Als de gegevens zouden lekken, dan zijn ze nog niet inzichtelijk omdat het versleuteld is.

Je kunt ook reguliere clouds nemen, maar dan zelf voor de encryptie op voorhand zorgen. Bijvoorbeeld door middel van Boxcryptor. Stuk goedkoper, alleen wat meer werk voor jezelf.
Hoe groot is de kans dat je data wordt gestolen of brand ontstaat?
Hoe groot is de kans op een datalek?

Ik zou dus belangrijke data op een NAS opslaan en een backup op een andere locatie bewaren (bijvoorbeeld door naar iemand door te sturen waar jouw backup aan de nas van die persoon wordt gekoppeld = offsite backup)
Bij mij ligt er een 4TB schijf offline op de zaak (niet mijn bedrijf) in de kluis met mijn belangrijkste foto's en andere (voor mij) belangrijke zaken. vanaf de zaak kan ik mijn NAS bereiken en daarna gaat de schijf weer offline. Maarja ik ben ouderwets denk ik, want er staat niets van mij op de cloud wat belangrijk is.

[Reactie gewijzigd door Beakzz op 4 februari 2020 13:51]

Encrypten in de cloud kan ook. Alleen voor foto's lijkt me zoiets onmogelijk om structureel te doen. Ik denk dan meer aan gevoelige documenten bijvoorbeeld.
Ik ben al jaren geen fan van cloud oplossingen voor prive gegevens. Dit is de zoveelste keer dat het faalt en nu bij een groot bedrijf dat het beter op orde heeft dan vele anderen. Ik snap ook niet dat mensen nog steeds niet snappen dat gratis diensten niet bestaan. Jouw persoonlijke data wordt misbruikt door derden... het is maar wat je fijn vindt natuurlijk :-)
Het kan ook misgaan bij niet-cloud oplossingen. Wat jij eigenlijk bedoelt is dat het bij IT oplossingen altijd kan misgaan. En dat dit misgaat heeft ook niks te maken met het feit dat de dienst gratis is... Vervolgens spreek je over 'misbruik'. Hak op de tak, het heeft allemaal niks met elkaar te maken. Ik zie ook niet in hoe Google Photos wordt misbruikt door derden.
Daarom heb ik het liever zelf in de hand, ik share niet per ongeluk opgenomen voice gesprekken, video en/of fotoopnames.
Re Voicegesprekken:
Dat deden/doen ze allemaal, en met reden, niet per ongeluk.
Dat sommige gesprekken per ongeluk zijn opgenomen... yep...


Verder is het een afweging van risico vs gemak.
Ja ik vind het geen gemak, richt mijn eigen automation wel in naar eigen server indien nodig :-)
Google Takeout is een project van het Google Data Liberation Front waarmee gebruikers van Google-producten, zoals YouTube en Gmail, hun gegevens kunnen exporteren naar een downloadbaar archiefbestand.

Ja, dit is een fuck-up, maar wel een fuck-up bij een positief project. Hoe voorkom je het? Waarschijnlijk door een controle script te draaien op een bak fake accounts, waarbij je iedere keer checkt of alles wat je er in gestopt hebt er ook weer uit komt.
Google Takeout is een project van het Google Data Liberation Front waarmee gebruikers van Google-producten, zoals YouTube en Gmail, hun gegevens kunnen exporteren naar een downloadbaar archiefbestand.
Toch heeft dat ook wel een erg groot "bak data over de schutting" gehalte.
Je exifdata wordt bijvoorbeeld los aangeleverd in allemaal bestandjes onverderdeeld in arbitraire mapjes. Mag je zelf weer aan elkaar knopen als je wil wegmigreren van Google Photo's naar wat anders.
Ik heb echt het idee dat dit meer een soort moetje voor ze is dan dat ze daadwerkelijk je controle over je data willen vergroten.
Ik heb ook altijd het gevoel gehad dat niet al mijn foto's in die export zaten toen ik wilde wegmigreren van dat platform. Maar dat kon ik nooit hard marken en met die vele duizenden foto's weet ik ook niet echt of er her en der wat kwijt is.
Wel snel afgeleerd dat soort diensten als primaire foto opslag te gebruiken.

[Reactie gewijzigd door Koffiebarbaar op 4 februari 2020 12:07]

Ik heb juist het gevoel dat ze er alles aan doen om je te ontmoedigen om bij ze weg te gaan.
Toen ik een tijdje geleden alles bij Google weg wilde halen, heb ik meerdere malen mijn foto’s en video’s moeten downloaden voordat het foutloos ging.

Google is evil en niks anders.
Ik ben het met je eens dat het nog niet helemaal vlekkeloos gaat bij Google Takeout.
Tegelijkertijd kon ik makkelijker foto's uit Google Hangouts halen dan uit Whatsapp. Het is niet perfect geregeld met Takeout, maar alsnog vele malen beter dan concurrenten.
Dat is optioneel... Je kan er volgens mij zelf voor kiezen die exif data te verwijderen/ontkoppelen bij uploaden/autobackup/sharing. Misschien dat dat daarmee samenhangt?
Aangezien het kennelijk alleen met videos en niet met foto's mis is gegaan, zou je eerder denken aan een fout bij het koppelen van accounts.
Als ik mij niet vergis waren Google photo en Youtube vroeger gescheiden diensten en zijn die later samengevoegd.
Dus wellicht dat ergens nog oude user-ID's als flag stonden en dat er nog een extra lookup-tabel nodig is om de juiste ID's aan de juiste accounts te koppelen.
Volgens een woordvoerder gaat het om 'minder dan 0,01 procent van alle Google Foto's-gebruikers'.
Hoeveel gebruikers hebben überhaupt van deze dienst gebruik gemaakt in die periode?
Ik vermoed dat het wellicht nog minder is dan die 1/10000e van het aantal gebruikers.
Of zit in dat percentage ook de accounts van de getroffenen wiens video's bij een andere export in zijn gekomen?
En Google heeft dit ook netjes gemeld als datalek bij de Autoriteit Persoonsgegevens?
Ik denk dat er al een video die kant op is gestuurd!
Aha, vandaar dat Google het zelf nu meld dus... ?!
Even goed lezen. Ze melden niets maar bevestigen de melding van een derde partij. De kans is dus reeël dat ze het voor die tijd noch aan de gebruikers noch aan de AP gemeld hebben.

[Reactie gewijzigd door mae-t.net op 4 februari 2020 14:52]

Ik lees oa dat Google gebruikers die in dat tijdsbestek een takeout gedaan hebben, een bericht hebben gestuurd met waarschuwing.
Ze hebben het voor de tweet van die derde partij wellicht niet opgemerkt. Misschien ook wel...
Maar ik zie ze nergens verschuilen of ontkennen.
Waarmee 2 van de 3 punten waar je kritiek op had, dus nog gewoon overeind blijven. Ze ontkennen weliswaar niet, maar de communicatie is reactief en niet actief (los van of er een goed excuus voor was) en het kan best dat ze het verhaal een beetje in hun voordeel spinnen.
Dat kan best ja... Maar dat weet je helemaal niet zeker, en kan dus ook net zo goed onzin zijn, allemaal aannames... Net als de originele reactie waar ik op reageerde. Dat kan je dan weer kritiek noemen, ik nuanceerde slechts de aanname van iemand hierboven, dat de norm bij datagiganten alles ontkennen en spinnen is. Ik ben daar nog niet van overtuigd zoals je kan lezen ;).
Ah, dat verklaard al die random blootvideos in mijn downloadmap nadat ik "mijn" data via TakeOut gedownload had. En mijn vriendin maar gekke gedachtes krijgen toen ze in mn telefoon keek. Lekker bezig Google! :+

[Reactie gewijzigd door BierfietsNL op 4 februari 2020 11:45]

Ik zou mijn geld terugvragen :+
'minder dan 0,01 procent van alle Google Foto's-gebruikers'
Ja omdat niet veel mensen die functie gebruiken, laat staan binnen die tijdsperiode.

De vraag die ik wil stellen is: Hoeveel van de mensen die in die periode een take-out deden (waar videos bij zaten) zijn getroffen en hoeveel video's zijn gemiddeld "uitgewisseld"?
Men schrijft hier per ongeluk, is dat ook officieel statement van Google zelf?

Is maar de vraag hoe men tegen begrip per ongeluk aankijkt en of dat juridisch steekhoudend is om e.a. met een sorry af te doen.

Naar mijn mening is het niet per ongeluk maar gewoon een fout , met uitwerking die never nooit plaats had mogen vinden.

( mensen mogen fouten maken yup , maar dienen er in de regel ook voor te boeten als hierdoor / mee wet en regelgeving overtreden is , anders als iemand een foutje per ongeluk met het gaspedaal maakt hoeft men ook die bekeuring van 5KM te hard niet te betalen.)

Doel hierop handhaving ACM / AP en consorten , ze zijn niet dom bij GOOGLE dus specialisten met enige kennis van zaken wat men daar aanbied en doet heeft men , en bij fouten zou handhaven met boetes enz op zijn plaats zijn.

Anders komt er nooit een einde aan de vele reeksen van ongelukjes en foutjes bij dat soort reuzen omdat het onder de streep toch peanuts zijn aan sancties of zelf geen.
Ah, een tijd geleden keek ik ook al raar op dat ik een stuk of 4 foto's van een Indiaas gezin in mn drive had staan toen ik een export had gedownload. Ik was al bezig met de overstap naar Microsoft, en technisch kan het natuurlijk overal gebeuren. Maar de maat is wel wat vol wat google betreft.
Is het niet zo als jou data door toedoen van een bedrijf bij derden terecht komt dit min of meer gelijk is aan data diefstal , ongeoorloofd kopiëren enz waarvoor je mogelijk zelfs bij de POLITIE aangifte kan doen?
:z

Kijkt mij niet dat men zulke fouten met de kleine lettertjes in voorwaarden uit mag sluiten als zijnde ok ?

Indien dat wel mag wat doen al die mensen nog bij Google dan?

Eigen foto's video enz vallen volgens mij onder e.a. , als je plaatjes / video van Google zelf ergens zonder toestemming heen zend / steelt enz krijg je echt wel een aanklacht met claim verwacht ik zo

[Reactie gewijzigd door jahoorisieweer op 4 februari 2020 19:43]


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone 11 Microsoft Xbox Series X LG OLED C9 Google Pixel 4 CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True