Scurgerea aplicației TEA arată verificarea ID -ului digital expune datele dvs. la potențialul abuz
Scurgerea aplicațiilor de ceai arată de ce legile de verificare a vârstei digitale din Marea Britanie sunt periculoase
Legea online „siguranță” este de fapt o amenințare.
Reclamatenet.org
Christina Maas
UKS Act de „siguranță” onlineLegislația comercializată ca o plasă de siguranță pentru copii, a fost lansată cu toată previziunea unui copil care a lansat un program spațial. Acum, orice site care găzduiește conținut „potențial dăunător” ar putea fi necesar pentru a colecta ID-ul din lumea reală, scanările feței sau documentele oficiale de la utilizatori.
Ce ar putea merge greșit? Întrebați ceaiul, aplicația de bârfă de întâlnire centrată pe femei, care a devenit virală prin împuternicirea promițătoare, apoi a fost completată într-una dintre cele mai periculoase încălcări de date ale anului. Serverul lor Firebase, care adăpostesc zeci de mii de selfie-uri și ID-uri de joint-guvern, lăsate larg deschise oricui are un link.
Aceasta este Contequența din lumea reală a parlamentarilor care vând mandate de identificare digitală ca o soluție la vătămarea online: companiile private care au acces la date cu caracter personal sensibile, cu toată discreția unui plutitor de paradă, apoi aruncând-o în turele întregului internet.
Să ne oprim o clipă și să apreciem geniul cosmic necesar pentru a construi o aplicație presupusă concepută pentru a proteja femeile, apoi pentru a expune toate datele lor private lumii cu finețea unui hacker pentru prima dată care copiază o adresă URL.
Ceaiul, aplicația de întâlnire care s-a ridicat în partea de sus a anonimatului magazinului de aplicații, siguranță și împuternicire, înainte de plantarea feței în podeaua serverului Firbase, pulverizarea permisului de conducere și selfie-urile ca un tun confetti.
Dacă ați ratat -o, iată pitch -ul ascensorului din Sevest Circle of Infosec Hell: Ceaiul le permite femeilor să încarce fotografii, nume și culisele bărbaților pe care le întâlnesc (sau le evită), etichetându -le drept „steaguri verzi” sau „steaguri roșii” ca și cum ar fi.
Acesta era deja un derby de demolare a confidențialității care aștepta să se întâmple. Dar ceaiul nu a fost mulțumit de acuzații schițate aglomerate și apeluri anonime; Avea un obiectiv mai mare: asigurându -se că numai femeile verificate pot partida. Și cum verificați femeia în secolul XXI? Desigur, cereți un selfie și un ID guvernamental. Nimic nu spune „spațiu sigur”, cum ar fi să -ți dai fața și pașaportul unei aplicații de bârfă zulzete, conduse de oameni care o depozitează într -o găleată de foc accesibilă public. Fără autentificare. Fără parolă. Fără rușine.
Scurgerea de date a izbucnit. Utilizatorii de pe 4Chan s -au împiedicat de baza de date deschisă și nu au pierdut timp să se ridice la zeci de mii de selfie -uri, permisele de conducere și mesaje la fel de private; Fără criptare, fără spălare de metadate. Unele încărcări încă conțineau date de geolocalizare, ceea ce înseamnă că oricine a făcut clic pe „Trimite” a avut un traseu de pescuit în timp real în fața lor despre o pescuit în timp real.
Fallout -ul a fost imediat. Cel puțin unul dintre ID -urile ar fi aparținut unui angajat al Departamentului Apărării, în conformitate cu postările de socializare care acum circulă cu scârțâitul Schadenfreude din Voyeurs Digital.
Ceaiul a scos o declarație la 6:44 am pe 25 iulie, susținând că încălcarea a afectat un „sistem moștenitor” cu date de la „aproximativ doi ani în urmă”.
Desigur, întregul pitch al ceaiului pentru femei a fost acela că a creat un ecosistem de întâlnire mai sigură, eliminând impostorii și târârea prin păstrarea bazată pe ID. Dar, după cum se dovedește, adevăratul pericol nu a fost tipul cu eticheta „steagul roșu”. Compania în sine a fost cea care a construit o miere de mare valoare de informații personale sensibile și apoi a uitat să pună un membru pe ea.
ID -uri digitale: uleiul de șarpe de siguranță online
Dezastrul ceaiului este mai puțin o jenă de sine stătătoare și mai mult ca un panou de panou roșu intermitent care face publicitate idiotia verificării digitale a identificării ca o protecție de confidențialitate. Ideea sună bine în sălile de comisie și în etapele conferinței tehnologice: Solicitați oamenilor să încarce ID real pentru a -și confirma identitatea online, iar în mod magic, trolii dispar, roboții se dezintegrează, iar aplicația dvs. devine o utopie sau discurs civil și o întâlnire politicoasă.
Cu excepția nr. Ceea ce obțineți efectiv este un regim de supraveghere care centralizează datele de identitate neprețuite în sisteme atât de fragile, încât se încadrează sub greutatea unei solicitări URL. Ceaiul nu a suferit o încălcare din cauza unui hack magistral; S -a împiedicat pentru că a lăsat partea din față și a înregistrat cheia pe covorașul de bun venit.
Greșelile se întâmplă întotdeauna, iar hack -urile sunt comune, motiv pentru care platformele ar trebui să colecteze cât mai puține date, iar cerințele de identificare digitală sunt o idee periculoasă.
Și nu este ca și cum această practică va dispărea. Este îmbunătățit în lege. Noul strălucitor al Regatului Unit Act de siguranță online este genul de legislație performativă care oferă autorităților de reglementare un sentiment cald, fără povara logicii.
Îndepărtat ca un efort nobil pentru a proteja copiii și utilizatorii împotriva prejudiciilor online, acesta impune verificarea vârstei care îi obligă pe toată lumea; Copiii, adulții și angajații DOD nefericiți, pentru a -și preda ID -ul pentru a participa la cele mai banale colțuri ale internetului.
Încălcarea ceaiului este o previzualizare. Legea privind siguranța online ar putea transforma cu ușurință fiecare aplicație minoră și site-ul de nișă într-un nod de supraveghere scăzută, scanări ID de depozitare și date faciale cu aproximativ același nivel de ceai de sofisticare arătat.
Chiar și platformele masive cu armate sau ingineri de securitate se luptă pentru a menține acest copil sau date blocate. Se așteaptă ca startup-urile și aplicațiile inedite să dezvolte brusc infrastructura de date de calitate militară, este ca și cum ai oferi unui copil mic de flamethrower și speranța peisajului.
Apărătorii verificării digitale a identificării le place să folosească cuvinte precum „încredere”, „protecție” și „autenticitate”. Ceea ce nu menționează este ceea ce se întâmplă când lucrurile nu merg bine. ID-urile sunt acces pe viață la identitatea dvs. din lumea reală. Nu -ți poți revoca fața. Nu puteți înlocui numărul dvs. de securitate socială de fiecare dată când o pornire uită să -și stabilească permisiunile.
Dar uitați logica. Aceste scheme de verificare se răspândesc mai repede decât un meme mijlociu-pandemie. Recunoașterea facială, scanările documentelor și markerii biometrici, deoarece, aparent, singura modalitate de a preveni vătămarea este de a transforma fiecare utilizator într -un dosar guvernamental. Între timp, sistemele sunt perdeaua sunt scurgeri, opace și complet indiferent de ceea ce se întâmplă odată ce datele dvs. sunt în sălbăticie.
Politica are și costuri sociale. Pentru denunțători, activiști, supraviețuitori de abuzuri sau oricine se deplasează de anonimat, Bee a fost obligat să depună ID pentru a accesa informații sau pentru a se exprima online este echivalentul digital sau pentru a -și eticheta casa cu un marker GPS.
Acesta este efectul de răcire încorporat în oasele legislației, cum ar fi Legea privind siguranța online. Parlamentarii tranzacționează principii constituționale pentru optica de eliberare a presei, iar utilizatorii sunt blocați într-o realitate în care confidențialitatea este pictată ca o amenințare la adresa siguranței în locul fundației sale.
Să omorâm fantezia că acesta este un compromis necesar, că, dacă doriți să păstrați copiii în siguranță online, trebuie să instalați un punct de control digital la fiecare ecran de conectare. Că nu puteți combate abuzul fără să construiți un panopticon.
Adevărul este că cea mai mare parte a schemelor de colectare a tezei Teatrul de securitate al sondajului, nu securitatea reală. Ei deplasează încrederea de la utilizatori și o plasează într -un sistem de cutii negre, fără responsabilitate. Când sistemul nu reușește, așa cum are ceaiuri, utilizatorii sunt cei care plătesc. Cu datele și siguranța lor.
Ceaiul a colectat 72.000 de imagini, selfie -uri și ID -uri și le -a aruncat într -o găleată de foc deschis, de parcă ar fi economisit capturi de ecran de la un chat de grup. Dacă aceasta este o platformă care spune pentru a proteja femeile cu date sensibile, ce ar trebui să ne așteptăm de la platforme care nu se prefac doar că le pasă?
În ciuda fumului de acoperire a presei și a postărilor de socializare indignate, ceaiul nu a fost interzis. Paginile aplicației din App Store și Google Play sunt încă în direct. Evaluarea sa nu s -a crat. Niciun directori nu și -au dat demisia. Niciun regulatori nu s -au abătut.
Mesajul către alte platforme este clar: puteți înșela acest lucru în cel mai evident, umilitor și periculos mod posibil și nimic nu se va întâmpla cu adevărat.
Între timp, guvernele își accelerează apăsarea către verificările obligatorii de identitate digitală. Este o construcție viitoare pe amăgire. Infrastructura nu există. Încrederea nu este câștigată. Iar costul, așa cum face încălcarea ceaiului, este depresiv clar, este permanent.
Așadar, nu încărcați pașaportul pentru a vă alătura unei camere de chat. Nu trimiteți o scanare a feței pentru a accesa un site. Nu aveți încredere în acea aplicație la Trendy a fost fondată anul trecut cu datele dvs. biometrice.
Pentru că, odată ce fața, numele și ID -ul sunt acolo, nu se întorc. Și când următoarea scurgere în stil ceai va atinge și va fi, a fost anomalie. Va fi o politică periculoasă în acțiune.
Articol original: https://reclaimthenet.org/tea aplicația
