Pengembang aplikasi pihak ketiga dapat membaca jutaan email milik pengguna Gmail, hal ini dilaporkan oleh The Wall Street Journal. Setelan akses pada Gmail memungkinkan perusahaan data dan pengembang aplikasi pihak ketiga untuk melihat email pengguna.
Selain itu mereka juga dapat melihat detail pribadi lainnya, termasuk alamat penerima, stempel waktu, dan seluruh pesan email. Sementara setiap aplikasi tersebut harus menerima persetujuan pengguna. Namun, tidak diketahui apakah di dalam formulir persetujuan akses diperbolehkan untuk manusia saja atau hanya komputer untuk keperluan membaca email.
Seperti dilansir dari The Verge, Google menjelaskan mereka hanya memberikan data untuk memeriksa pengembang pihak ketiga dan dengan persetujuan eksplisit dari pengguna. Proses pemeriksaan meliputi memeriksa apakah identitas perusahaan terwakili dengan benar di aplikasinya.
Sebab di dalam kebijakan privasi diyatakan bahwa mereka akan memantau email dan data yang diminta oleh perusahaan juga sesuai dengan tujuan yang dilakukan perusahaan. Misalnya saja aplikasi email, harus mendapatkan akses ke Gmail. Beberapa pengembang telah mengajukan permohonan untuk mengakses Gmail tetapi belum mendapatkan izin. Google sendiri tidak menyebutkan berapa banyak pengembang yang tidak mendapatkan ijin.
Dan ternyata bukan hanya pengembang pihak ketiga, karyawan Google juga dapat membaca email tetapi hanya dalam kasus tertentu dan sangat spesifik, dan ini pun perlu adanya ijin dari pengguna. Misalnya saja untuk keperluan keamanan, seperti menyelidiki bug atau adanya penyalahgunaan.
Yang jelas ada banyak aplikasi dengan akses ini, seperti dari Salesforce dan Microsoft Office hingga aplikasi email yang kurang dikenal. Jadi jika pengguna Gmail pernah melihat permintaan seperti di bawah ini ketika memasukkan akun Gmail ke dalam sebuah aplikasi. Mungkin pengguna juga telah memberi izin kepada aplikasi tersebut untuk membaca email pengguna.
Di dalam laporannya The Wall Street Journal mengatakan bahwa layanan email lain selain Gmail juga memberikan akses serupa kepada pihak ketiga, jadi mungkin bukan hanya Google yang memiliki masalah ini.
Beberapa dari perusahaan terpercaya tersebut termasuk perusahaan pengelola email bernama Return Path and Edison Software, yang telah mendapatkan kesempatan mengakses ribuan akun email.
Kedua perusahaan tersebut mengatakan bahwa mereka memiliki tim manusia yang dapat melihat ratusan hingga ribuan pesan email untuk melatih algoritme mesin untuk menangani data. Keduanya menyebutkan bahwa perusahaan akan memantau email. Namun, mereka tidak menyebutkan bahwa tim manusia dan bukan hanya mesin memiliki akses.
Kondisi seperti ini mengingatkan kembali pada kasus bocornya data pengguna Facebook oleh Cambridge Analytica. Sebuah hal yang umum dilakukan selama bertahun-tahun dengan membiarkan aplikasi pihak ketiga mengakses data Facebook . Sehingga akhirnya data-data itu disalahgunakan dan diketahui oleh pemerintah serta publik.
Walaupun belum ada bukti-bukt bahwa pengembang add-on Gmail dari pihak ketiga telah menyalahgunakan data. Hanya saja dengan bisa melihat dan membaca email pribadi sepertinya sudah melampui batas privasi.
Selain itu, tidak jelas seberapa aman sistem ini sebenarnya. Tahun lalu saja, pengguna Google menjadi korban serangan phishing yang disamarkan sebagai permintaan izin dari Google Documents untuk mendapatkan akses kontak pengguna dengan menggunakan sistem otorisasi yang sama. Sementara Google mengatakan bahwa mereka telah melakukan perbaikan sejak adanya kasus tersebut. Akibat adanya serangan, maka menyoroti kerentanan sistem izin dari Google.