Googleに電話番号を公開された!
引用元:https://news.ycombinator.com/item?id=44094270
あなたのウェブサイトに電話番号が載ってるし、Google Playの開発者向け公開情報にも同じ番号があるね。もし間違ってたらゴメンだけど、どっちもあなたが公開したんじゃないの? 個人のとビジネスので同じ電話番号を使ってるなら、意外じゃないと思うな。最初はGoogleがこれを公開情報として載せたのは良くないって感じたけど、Google Playではお客さんがあなたに連絡するためにどの電話番号を使えるか、はっきり聞いてると思うし。
記事の筆者だよ。ウェブサイトには無いはずなんだけど(見当たらないかな?)、Google Playの開発者向けプロフィールにあるのは残念だね。教えてくれてありがとう。
つまり実際に何が起こったかって言うと、あなたはGoogleに顧客があなたのビジネスに連絡するための番号として、公開する目的で特定の電話番号を提供したのに、それを忘れちゃったんだよ。誤解されちゃうから、記事を修正すべきだよ。
いや、私はGoogleにBusiness Profileへのアクセスを得るため、本人確認プロセスの一部として電話番号を教えたんだ。ビジネスリスティングで公開するためには、あえて教えてなかったんだよ。そして、Googleもそれは公開しなかった。4年以上もね。それがある日、本人確認用に教えた番号を…検索結果で公開することに決めたんだ。なんでかはまだ分からない。
Google Playの電話番号はBusiness Profileから来てるものじゃないと思うな。Business ProfileはMaps系のものだよ。Play Storeの開発者ページに電話番号が載る方法は、あなた自身がその目的でPlay Storeの開発者コンソールに入力することだよ。あなたがビジネスの公開連絡先情報としてGoogleのサイトに公開したんだから、お客さんか、GoogleがMapsリスティングの電話番号を更新するために雇ってる請負業者のどっちかが、それをMapsに追加したんだろうね。
ごめん、これと別のスレッドをごっちゃにしてた。そうだね、Google Playのは別で提供したんだ(そして今は修正済み)。私の記事はBusiness Profileの方の話だったんだ。そっちに(どういうわけか突然)同じ電話番号が載り始めたんだよ。
Mapsのビジネスリスティングは公開で編集可能で、Googleはどんなソースからでも見つけて常に更新してるんだ。特に電話番号ね。Googleは一日中インターネットでビジネスの電話番号を探してMapsで更新するために人を雇ってるんだよ。あなたは番号を公開したんだ、それもあなたのビジネスの連絡先情報として特定して、しかもGoogleのサイトでだよ。何も謎はないさ。
そうかもね!唯一の反論としては、Googleがこれまで何か変更するたびに、そう言ってますってメールが来てたんだけど、今回はそんな通知はメール(迷惑メール含む)を探しても見つからなかったんだ。/しらんけど/
あなたはまだ記事を更新する必要があるよ。あなたがこの電話番号を、あなたのビジネスの公開連絡先情報として公開するという特定の目的のためにGoogleにはっきり提供したという、明らかに重要で関連性のある情報を含めるべきだよ。
電話番号は絶対に教えちゃいけないっていう、唯一のリマインダー(教訓)かな、たぶん。
Google Playストアに載せるために、Twilioの番号取ったんだ。メッセージを受け取ったら、ただそれをメールで送ってくれるだけなんだ。
これやるべきだな。なにかコード書かないとダメなの? それともTwilioの設定だけでできちゃう?
Twilio studioでコード書かなくても設定できるよ。100パーセント確かじゃないんだけど、たしかテンプレートがあった気がするな。詳細を入力するだけでよかったはずだよ
これってわりと最近のことなんだよね。Googleが実際にこの連絡先を公開し始めたって知らなかったけど、ここ1年くらい、ユーザーが連絡できるように公開できる電話番号の提供を義務付けてるんだよ。正直、このポリシーは完全に逆行してると思うな。お客さんがメールやウェブサイトで連絡してくれるのは全然いいんだけど、なんでGoogleがいきなり誰にでも(しかもお客さんですらない人に)年中無休24時間対応の電話サポートを提供しろなんて強制できるわけ?
もしかして、彼らが売りつけたいAIホットラインも提供してるんじゃないの?
この記事削除するか修正考えた方がいいよ、かなり誤解を招くから。君の電話番号、CVにもGoogle Playにも載ってるじゃん。
CVとかネット上には電話番号載せてるけど、それはビジネス用じゃないんだよね。Google Playのは修正中。仕事探しのための情報と、ビジネス関連で勝手に公開されるのは違うんだよ。(君の雇い主検索で君の番号が出るのは嫌だろ? そうだろ?)
君のCVに一つあるじゃん: https://danq.me/cv
うん、そうだよ。僕の個人電話番号がネット上のどこにもないべきだなんて言ってないよ。簡単に見つけられる場所はいっぱいあるからね!ただね、公開してるGoogle Business Profileには個人電話番号は載せてなかったんだ(何年も前に本人確認のために入力しただけ)。なのに、ある日Googleが突然、その会社名を検索した人に誰にでも公開し始めたんだ。
数年前に買ったSamsungスマホの発信元表示機能で、登録してない近所の人の番号が「<名前> GRINDER」って表示されたんだ。誰かが連絡先にそう登録してたみたい。彼は近所ではゲイだったけど、仕事相手に性指向をバラまかれるのは嫌だったらしく、すごく嫌がってたよ(ちなみに、彼はGrinderを7年も使ってなかったらしい)。
それマジでヤバそうだね!もしこれ(か、これが過去に)本当に起きてたとしたら、もっと騒がれてないのが不思議だよ。君の例も酷いけど、もっとダメージが大きいシナリオなんて簡単に思いつくね。
Instagramの「People you might know」機能は、物理的な近さでも機能するっていう噂があるよ。
Instagramに最近、「ローカルネットワーク上のデバイスを探す」っていう許可を求められたよ…
これって普通、「スマートTVで再生」みたいな状況のためだと思うんだけど、許可の表示がすごく不明瞭なんだよね。
それってよくあるアクセス許可の理由付けだけど、実際にどうデータを使うかの保証にはならないんだよ。IG/FBのビジネスモデルがいかにプロファイリングに依存してるか考えると、多くのデータを掴んで後で活用するのは間違いないと思うな。
僕の記憶だと、一部のSamsungスマホにはtruecallerかcallappが入ってて、君(id: 6299の人)が説明してたこと(発信元表示)をやってるんじゃないかな。
僕たちの場合は、GoogleがChamber of Commerceの登録簿から会社の電話番号を更新したんだ。電話サポートはしてないんだけど、Netherlandsでは法律で登録簿に電話番号が必要なんだよ。ボイスメールに直通するVoIP番号を入れたんだけど、Google Business profileから削除しても、時々「親切にも」また戻されちゃうんだ。
プロヒントだけど、Chamber of Commerceに登録するときに「まだ事業用の電話回線はありません」って言うといいよ。それが、公開されないようにする抜け穴なんだ。前の会社では毎週スパム電話がかかってきてたから、僕はこの手を使ったんだ。
誰かがメッセージ残したら、VoIPサービスからメールが来て、添付で届くんだ。それを聞いてる。これで法律的には大丈夫だと思うんだよね。Googleとかに電話するより絶対マシだし。(もちろんメールサポートはあるよ。コールセンターなんて作ったら、うちの9ドルのSaaS製品が倍以上になっちゃうんだよ。多分お客さんは電話サポートより安い方がいいと思ってるんじゃないかな。それに、どうしても話したいって人は他の競合に行けるしね。)
電話サポートと、サポート目的じゃないことで連絡できる番号を公開するのは違うことだよ。
もっとコメントを表示(1)
それか、誰かユーザーが親切心で、電話番号持ってたから役に立つと思ってビジネスプロフィールを更新してくれたとか?
いや、スクリーンショットにははっきり”Your phone number was Updated by Google.”って書いてあるよ。それってユーザーが入力した感じじゃないよね。
あれはいつもそう表示されると思うよ。ビジネスオーナーが変更を申請しても、それはリクエストで、技術的にはGoogleが更新するから。
じゃあ、何か違うことがあった時に表示が変わらないなら、あのテキストは意味ないってこと?
内部的には、”updated and immutable per Legal Dept”みたいなステータスがあるんじゃないかな。
でも、自分で更新した時もそう表示されるよ。
ランダムなユーザーがビジネスプロフィールの番号を更新できて、Googleが所有者の許可なく公開しちゃうの? それってすごい見落としみたいだね。
会社のビジネス盗むのにもいい機会だね。たしか数年前に、あるフードデリバリーサービスが色々なレストランの電話番号を自分らの番号にしちゃってたことなかった?
そうそう。こういうクソみたいなフードデリバリー業者使う話、フォーラムで誰かがし始めるといつもこの話出すようにしてるよ。
電話番号はわかんないけど、いくつかそういうとこがレストランのために”ウェブサイト”作ってたよ。
そういう仕組みってマジありえないわ。ちょっと想像してみてよ、もしlieferandoの偽サイト作ってネットにあげて、URLも似たようにできちゃったとするじゃん?速攻で訴えられるに決まってるじゃん。なのに、トップコメントの一つによると、lieferandoがこれをやって、さらに本人になりすましまでしてるのに、全然お咎めなしなんだって。
オーナーがGoogle businessに登録してないなら、そうなっちゃうね。他のユーザー(local guides)に変更の確認が求められるんだ。登録してたら、俺の経験だとリクエストはビジネスオーナーのとこに行って承認する感じ。営業時間変わったって変なリクエストいっぱい来たけど、登録してれば断れるよ。
これ聞くとさ、強制的に彼らと組むか、じゃなきゃ彼らは大体何でも公開できて、それがホントかどうかもシラを切れるって感じ?みたいな風に聞こえるんだけど。
まあそうかもだけど、他にどうすんの?情報を載せないか、人手でチェックするコストを賄うためにマップを有料にするか、どっちかしかないじゃん。
俺local guideやってるけど、Googleに何か確認しろって言われたことないよ。Local Guideって普通の無料Googleアカウントで、レビューとか写真とか編集とか投稿するんだってさ。ここに詳しく書いてあるよ。
https://support.google.com/maps/answer/7084895?hl=en
Googleは”あなたがした全ての編集を審査します”って言ってるけどね。
マップアプリ開いて > contribute > 他の人助けるために、はい/いいえの質問に答えるんだよ
Google Mapsでユーザーがビジネス情報更新できると思ってるでしょ。そうじゃなくて、たいていの場合、例えば営業時間とか直そうとしても、ビジネスオーナーに却下されちゃうんだ。っていうのも、彼らはスタッフが毎日早く帰っちゃうのに、夕方にも人がそこに来て、断られたり閉まったドア見たりするようにしたいからなんだよね。
他にもクラウドソーシングがあるんだぜ!
Google Mapsは過去のデータから場所の混雑状況を教えてくれるんだ。
これはみんなのAndroidデバイスの位置情報から集めてるらしいぜ。
Mapsは駐車場とかアクセシビリティとか、詳しい情報もユーザーに聞いてるよ。
バスや電車に乗ってると、リアルタイムで混雑状況とか温度とかが分かるんだ。
交通局がGoogleと情報を共有してるからさ。
俺が2012年にオフィスで働いてた頃、紙やオンラインの”Yellow Pages”みたいな3rd partyのリスト管理に苦労してたんだ。
ビジネスリスト作りは昔からあるみたいだね。
今はどの会社も、YelpとかTripAdvisorみたいなサイトを管理するためにSocial Media managerが必要なんだって。
店が密集してる場所だと、この仕組みはうまくいかないよね。
それに、”混んでない”時こそ行きたいじゃん?待つの嫌いだし。
これに関する(ちょっとドラマチックな)TED talkが数年前にあったよ。
リンクはこれね → https://youtu.be/5c6AADI7Pb4
お店の住所を変えたり、閉店マークをつけたりもできるんだぜ。
これ、見落としじゃなくて、許可なく手に入れた個人情報の違法な公開だよ。
公開する許可は取ってたんじゃないの?
でも、その番号が誰のものか確認する必要があるかどうかって話だよね?
一番簡単な確認方法、つまり電話して”Bob’s Shopですか?”って聞くやつは、もしAliceが電話に出て”はい”って答えちゃったら、すぐダメになるんだよね。
記事の作者でデータの持ち主が許可してないって言ってるから、確認する必要ないと思うな。
ビジネスだけが権利を持ってて、個人はみんなのモノみたいに見なされるんだよ。
法律をちゃんと守らない国に住んでるなら、法律なんて意味ないよね。
俺も同じだよ。
昔の会社の求人サイトで、電話番号が非表示にできなくて。
変な人から朝早く電話かかってきたんだよね。
「どうやったらプログラマーになれるんだ!」とか。
今はプライベートとこういう漏洩対策で、4つくらい番号使い分けてるよ。
これってGoogleが個人に訴えられないから起きるんだね。ドイツのLieferandoは、店のドメイン取ってGoogleビジネスの電話番号を自分らのコールセンターにして、店主に契約を強制するらしい。断ると店の評価を潰されるんだって。以前、Crimeflareにはこの手口でLieferandoに繋がるドメインが13万件もあったとか。被害店主を手伝ったけど、誰も訴えられず、損害も小さすぎて法的に追及できなかったみたい。Googleはこれを分かってて放置してるっぽいね。
組織がこういうの悪用するのはマジでヤバいね。
Googleのオーナー確認方法は、アメリカだと登録住所にID付きのハガキが送られてくるんだ。それ受け取った人がオーナーになれるよ。
ドメイン登録だけで乗っ取れるか? 絶対無理(法的に)。商標権侵害とか詐欺になるだろうし、Googleも他の確認方法持ってるから。
Google(とCloudflare)はどんな法律守ってないの? ここでの問題はLieferandoみたいだね。なんであの会社まだ営業できてるんだ? 俺には明らかな個人情報盗難に見えるんだけど。GoogleはLieferandoを信用しすぎてるだけじゃないかな。
もっとコメントを表示(2)
これって商標法で止められるんじゃないの?
この詐欺の規模は最初分からなかった。cloudflareを監視しないと分からないから。crimeflareみたいなデータがあれば本当はもっとヤバイ数になるはず。CCCの人に聞いたら12万件は確認できたって。2021年Q4には13万件見つけたよ。他の事業者にも声かけて、裁判をLandsgerichtsebeneにエスカレートさせようとしてたんだ。
”ビジネス名が入ったドメインを登録するだけでマップ上のビジネスを乗っ取れる?”って質問に対して、うん、そのビジネスがまだそのドメインを持ってなければね。それがミソなんだよ。多くの小さなレストランとかテイクアウトのお店は、ウェブサイトなんていらないって思ってるんだ。Lieferandoにやられるまではね。
じゃあ、ドイツのレストランが固有のハガキを受け取った後、どうやってその詐欺は成り立つわけ?
”問題を報告して、ビジネスを「主張」できる。Googleは登録された実際の住所に固有ID付きのハガキを送って、そのハガキを受け取った人が所有権を得られる”ってあるけど、「登録された住所」って、実際の会社の登記上の住所(例えばUKのCompanies Houseにあるような)のこと?それともGoogleにビジネス登録したときに使った住所のこと?後者なら、ちょっと問題があると思うんだけど…
Googleのエコシステムがこんな風に中小企業に対して武器として簡単に使われちゃうなんて、恐ろしいね。
彼らが自分の電話番号をレストランのものだと主張する部分は、詐欺(wire fraud)に近いし、他のユーザーが指摘してる恐喝みたいな部分もあるよね。
商標登録してある前提だね。ほとんどの小さなビジネスはそんなこと考えないけど。
CT logsを解析して、そんなドメインの証明書を誰が登録したか見れるんじゃない?
Googleなんだからさあ.Do you have a couple million dollars to spare?This is a government-level issue.It’s a clear breach of GDPR, but I get the feeling this guy is in America.
IANAL and this probably differs a lot per country.But typically you do not need to register a trademark, you only lose it if you do not actively defend it.So a small business could still sue Lieferando when they take your name.However, I think most small companies with thin margins would find the idea too daunting.
先週さ,HNでIdentity theftについて良いコメントあったんだよね:> There’s no such thing as Identity theft, it’s all bank fraud or in this case student aid fraud. ”Identity theft” is a term coined by banks to try to make it sound like random people should have to deal with the fallout of the banks’ bad identity verification practices.https://news.ycombinator.com/item?id=43923179
この記事のケースだとさ,”Identity theft”が起きるのはGoogleが信用しちゃダメなヤツを信用したせいなんだよ.Googleが信用しなきゃ,Scamは無理だったんだ.まあ,ScammerがProblemだけどさ,Googleが奴らにOpportunityを与えてて,Victim一人一人にDeal with the situationを任せてるんだよな.
This seems about not being able to sue the company doing Extortion (in your words), not Google…
But isn’t that Fraud? Lieferando is fraudulently pretending to be someone they aren’t to profit from it.
CT logs usually don’t identify the owner of a site in case of the usual DV (domain validation) certificates.Only OV or EV (organisation or extended validation) certificates provide some hint at the responsible party.
Wire-fraud is a United States legal concept.It’s probably not applicable to Germany (although Germany might have its own laws which cover this issue).
It certainly sounds like they would be sending it to the Address provided by the Scammer.The issue is their System assumes the first person to interact with it is trustworthy: gives a real Phone number and Address.If that first contact with Google was MITM’d, they seem to have no way to develop an un-compromised Relationship with the real Entity.
Wasn’t this Yelp’s Business strategy for a while? I’m unsure if that finally changed.
Post author here.Nope, I’m in the UK, and therefore covered by the DPA2018 (which is basically the copy-paste version of the GDPR that the UK government made post-Brexit).
