Злом даних додатку Tea викрив 72 000 файлів та 1,1 мільйона приватних повідомлень, що підкреслює небезпеки централізованого зберігання ідентифікаційних даних та необхідність децентралізованих систем для захисту користувачів.
Кі Джефферіс, співзасновник децентралізованого месенджера Session, поділився своєю думкою щодо нещодавнього витоку даних у додатку Tea, пояснюючи, як цей інцидент підкреслює небезпеки централізованого зберігання ідентифікаційних даних і чому децентралізовані системи краще підходять для захисту користувачів.
Tea, додаток, розроблений для жінок, який обіцяв безпечнішу досвід зустрічей, закрив свою систему обміну повідомленнями після одного з найбільших витоків даних року. Те, що починалося як вірусна платформа для допомоги жінкам у виявленні потенційно небезпечних чоловіків, закінчилося тим, що мільйони приватних розмов і документів, що засвідчують особу, були опубліковані на форумах витоків.
Злам, виявлений наприкінці липня, торкнувся користувачів, які приєдналися до лютого 2024 року. Принаймні 72 000 файлів були розкриті, включаючи урядові ідентифікаційні документи, які компанія обіцяла видалити після перевірки. Крім того, понад 1,1 мільйона приватних повідомлень були скомпрометовані, починаючи від повсякденних чатів і закінчуючи дуже чутливими обговореннями про насильство та здоров'я.
Експерти з безпеки стверджують, що крах був неминучим. Кі Джефферіс зазначив, що системи, які збирають і централізують особисті ідентифікатори, створюють ідеальну ціль. Як тільки база даних містить ідентифікатори, селфі та незашифровані метадані, зловмисникам потрібно лише один раз зламати систему, щоб отримати доступ до всього.
Від обіцянки до експозиції
Чай став популярним, надаючи інструменти для зворотного пошуку зображень профілів знайомств, проведення перевірок біографії та створення нібито безпечного простору для жінок. Однак його залежність від обов'язкової верифікації за допомогою селфі-ID була принциповим недоліком.
Згідно з даними розслідувачів, перша витік сталася, коли незахищене сховище, яке, очевидно, було налаштоване для запитів на відповідність, залишили відкритим. Файли, які мали бути видалені, все ще були доступні і були швидко скопійовані. Через кілька днів окрема вразливість дозволила зловмисникам завантажити цілі архіви повідомлень оптом, без будь-яких обмежень швидкості або шифрування, щоб сповільнити їх.
Те, що продавалося як захист, насправді надало потенційним зловмисникам детальну карту взаємодій користувачів, з точними часовими позначками та даними про місцезнаходження.
Чому централізація зазнає невдачі?
Візьмемо, наприклад, справу з чаєм. Вона підкреслює постійні проблеми централізованих систем: зберігання чутливої інформації на невизначений термін, покладання на єдині точки відмови та відсутність надійного шифрування. На відміну від паролів, біометричні дані, такі як обличчя, не можуть бути легко змінені у випадку витоку. Вкрадені селфі можуть бути використані для крадіжки особистості, дипфейків або створення фальшивих облікових записів.
Джеффері зазначає, що навіть якщо дані зашифровані при зберіганні, це не дуже допомагає, якщо ключі шифрування зберігаються поряд з ними. "Хто, коли і де" цифрових розмов, відомий як метадані, залишається особливо вразливим для тих, хто намагається уникнути спостереження або переслідування.
Що можна було б зробити інакше?
Існують альтернативні проекти, які могли б запобігти такому краху:
Нульові докази можуть підтверджувати вік або стать без збереження чутливих фотографій.
Децентралізовані мережі можуть розподіляти дані між вузлами, усуваючи єдиний джекпот для зловмисників.
Кінцеве шифрування може зробити повідомлення незчитуваними навіть для серверів, які їх передають.
Згідно з Джефферісом, впровадження цих принципів значно ускладнить зловмисникам витягування значущих даних. Замість того, щоб один витік викривав усе, одночасно доведеться долати кілька децентралізованих бар'єрів.
Час діяти регуляторам
Захист Tea, посилаючись на збережені ідентифікатори для потенційних розслідувань, виявляє ширшу політичну прогалину. Регулятори все частіше вимагають верифікації цифрових ідентифікаторів, але рідко застосовують суворі правила видалення або децентралізовані заходи безпеки. Без цих заходів нові програми можуть повторити минулі помилки під виглядом безпеки.
Обвал Tea ілюструє, як швидко може зникнути довіра, коли приватна інформація обробляється неналежним чином. Платформи, орієнтовані на безпеку, не можуть покладатися лише на обіцянки. Якщо вони не відмовляться від централізованого зберігання ідентифікаційних даних і не впровадять дизайни, орієнтовані на конфіденційність, вони ризикують стати менш притулком для жінок, ніж планом для тих, хто бажає їм зашкодити.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
Злам даних Tea перетворює безпеку жінок на ігровий майданчик для хакерів
Коротко
Злом даних додатку Tea викрив 72 000 файлів та 1,1 мільйона приватних повідомлень, що підкреслює небезпеки централізованого зберігання ідентифікаційних даних та необхідність децентралізованих систем для захисту користувачів.
Кі Джефферіс, співзасновник децентралізованого месенджера Session, поділився своєю думкою щодо нещодавнього витоку даних у додатку Tea, пояснюючи, як цей інцидент підкреслює небезпеки централізованого зберігання ідентифікаційних даних і чому децентралізовані системи краще підходять для захисту користувачів.
Tea, додаток, розроблений для жінок, який обіцяв безпечнішу досвід зустрічей, закрив свою систему обміну повідомленнями після одного з найбільших витоків даних року. Те, що починалося як вірусна платформа для допомоги жінкам у виявленні потенційно небезпечних чоловіків, закінчилося тим, що мільйони приватних розмов і документів, що засвідчують особу, були опубліковані на форумах витоків.
Злам, виявлений наприкінці липня, торкнувся користувачів, які приєдналися до лютого 2024 року. Принаймні 72 000 файлів були розкриті, включаючи урядові ідентифікаційні документи, які компанія обіцяла видалити після перевірки. Крім того, понад 1,1 мільйона приватних повідомлень були скомпрометовані, починаючи від повсякденних чатів і закінчуючи дуже чутливими обговореннями про насильство та здоров'я.
Експерти з безпеки стверджують, що крах був неминучим. Кі Джефферіс зазначив, що системи, які збирають і централізують особисті ідентифікатори, створюють ідеальну ціль. Як тільки база даних містить ідентифікатори, селфі та незашифровані метадані, зловмисникам потрібно лише один раз зламати систему, щоб отримати доступ до всього.
Від обіцянки до експозиції
Чай став популярним, надаючи інструменти для зворотного пошуку зображень профілів знайомств, проведення перевірок біографії та створення нібито безпечного простору для жінок. Однак його залежність від обов'язкової верифікації за допомогою селфі-ID була принциповим недоліком.
Згідно з даними розслідувачів, перша витік сталася, коли незахищене сховище, яке, очевидно, було налаштоване для запитів на відповідність, залишили відкритим. Файли, які мали бути видалені, все ще були доступні і були швидко скопійовані. Через кілька днів окрема вразливість дозволила зловмисникам завантажити цілі архіви повідомлень оптом, без будь-яких обмежень швидкості або шифрування, щоб сповільнити їх.
Те, що продавалося як захист, насправді надало потенційним зловмисникам детальну карту взаємодій користувачів, з точними часовими позначками та даними про місцезнаходження.
Чому централізація зазнає невдачі?
Візьмемо, наприклад, справу з чаєм. Вона підкреслює постійні проблеми централізованих систем: зберігання чутливої інформації на невизначений термін, покладання на єдині точки відмови та відсутність надійного шифрування. На відміну від паролів, біометричні дані, такі як обличчя, не можуть бути легко змінені у випадку витоку. Вкрадені селфі можуть бути використані для крадіжки особистості, дипфейків або створення фальшивих облікових записів.
Джеффері зазначає, що навіть якщо дані зашифровані при зберіганні, це не дуже допомагає, якщо ключі шифрування зберігаються поряд з ними. "Хто, коли і де" цифрових розмов, відомий як метадані, залишається особливо вразливим для тих, хто намагається уникнути спостереження або переслідування.
Що можна було б зробити інакше?
Існують альтернативні проекти, які могли б запобігти такому краху:
Згідно з Джефферісом, впровадження цих принципів значно ускладнить зловмисникам витягування значущих даних. Замість того, щоб один витік викривав усе, одночасно доведеться долати кілька децентралізованих бар'єрів.
Час діяти регуляторам
Захист Tea, посилаючись на збережені ідентифікатори для потенційних розслідувань, виявляє ширшу політичну прогалину. Регулятори все частіше вимагають верифікації цифрових ідентифікаторів, але рідко застосовують суворі правила видалення або децентралізовані заходи безпеки. Без цих заходів нові програми можуть повторити минулі помилки під виглядом безпеки.
Обвал Tea ілюструє, як швидко може зникнути довіра, коли приватна інформація обробляється неналежним чином. Платформи, орієнтовані на безпеку, не можуть покладатися лише на обіцянки. Якщо вони не відмовляться від централізованого зберігання ідентифікаційних даних і не впровадять дизайни, орієнтовані на конфіденційність, вони ризикують стати менш притулком для жінок, ніж планом для тих, хто бажає їм зашкодити.