Утечка данных приложения Tea раскрыла 72 000 файлов и 1,1 миллиона личных сообщений, подчеркивая опасности централизованного хранения идентификационных данных и необходимость децентрализованных систем для защиты пользователей.
Ки Джеффрис, соучредитель децентрализованного мессенджера Session, поделился своим мнением о недавнем утечке данных приложения Tea, объяснив, как инцидент подчеркивает опасности централизованного хранения идентификационной информации и почему децентрализованные системы лучше подходят для защиты пользователей.
Приложение Tea, разработанное для женщин и обещавшее более безопасный опыт знакомств, закрыло свою систему обмена сообщениями после одного из крупнейших утечек данных в этом году. То, что начиналось как вирусная платформа для помощи женщинам в выявлении потенциально опасных мужчин, закончилось тем, что миллионы частных разговоров и документов удостоверяющих личность были опубликованы на форумах утечек.
Утечка, раскрытая в конце июля, затронула пользователей, которые присоединились до февраля 2024 года. По крайней мере, 72 000 файлов были раскрыты, включая государственные удостоверения личности, которые компания обещала удалить после верификации. Кроме того, более 1,1 миллиона личных сообщений были скомпрометированы, включая повседневные разговоры и крайне чувствительные обсуждения о насилии и здоровье.
Эксперты по безопасности считают, что крах был неизбежен. Ки Джеффрис отметил, что системы, которые собирают и централизуют личные идентификаторы, создают идеальную цель. Как только база данных содержит идентификаторы, селфи и нешифрованные метаданные, атакующим нужно лишь один раз взломать систему, чтобы получить доступ ко всему.
От Обещания к Экспозиции
Чай стал популярным благодаря предоставлению инструментов для поиска изображений профилей знакомств, проведения проверок биографии и создания, якобы, безопасного пространства для женщин. Однако его зависимость от обязательной проверки идентификации по селфи была фундаментальным недостатком.
По словам следователей, первая утечка произошла, когда незащищенный хранилищный бакет, очевидно, настроенный для запросов на соблюдение норм, был оставлен открытым. Файлы, которые должны были быть удалены, по-прежнему были доступны и были быстро скопированы. Через несколько дней отдельная уязвимость позволила злоумышленникам скачать целые архивы сообщений оптом, без каких-либо ограничений по скорости или шифрования, чтобы замедлить их.
То, что продавалось как защита, на самом деле предоставило потенциальным злоумышленникам подробную карту взаимодействий пользователей, включая временные метки и данные о местоположении.
Почему централизованные системы терпят неудачу?
Возьмем, к примеру, случай с Tea. Он подчеркивает существующие проблемы централизованных систем: хранение конфиденциальной информации на неопределенный срок, зависимость от единственных точек отказа и отсутствие надежного шифрования. В отличие от паролей, биометрические данные, такие как лица, нельзя легко изменить в случае утечки. Украденные селфи могут быть использованы для кражи личности, дипфейков или создания поддельных учетных записей.
Джеффрис отмечает, что даже если данные зашифрованы при хранении, это не сильно помогает, если ключи шифрования хранятся рядом с ними. «Кто, когда и где» цифровых разговоров, известное как метаданные, остается особенно уязвимым для тех, кто пытается избежать наблюдения или преследования.
Что можно было бы сделать иначе?
Существуют альтернативные проекты, которые могли бы предотвратить такой коллапс:
Нулевые доказательства могут подтвердить возраст или пол, не сохраняя чувствительные фотографии.
Децентрализованные сети могут распределять данные по узлам, устраняя единый джекпот для атакующих.
Сквозное шифрование может сделать сообщения нечитаемыми даже для серверов, которые их передают.
Согласно Джефферису, принятие этих принципов сделает значительно более трудным для злоумышленников извлечение значимых данных. Вместо одного нарушения, раскрывающего всё, необходимо будет одновременно преодолеть несколько децентрализованных барьеров.
Время для действий регуляторов
Защита Tea, ссылаясь на сохраненные идентификаторы для потенциальных расследований, выявляет более широкую политику недостатков. Регуляторы все чаще требуют проверки цифровых удостоверений личности, но редко применяют строгие правила удаления или децентрализованные меры безопасности. Без этих мер новые приложения могут повторить прошлые ошибки под предлогом безопасности.
Крах Tea иллюстрирует, как быстро может исчезнуть доверие, когда частная информация обрабатывается неправильно. Платформы, ориентированные на безопасность, не могут полагаться только на обещания. Если они не откажутся от централизованного хранения идентификаторов и не примут дизайны, ориентированные на конфиденциальность, они рискуют стать не убежищем для женщин, а схемой для тех, кто хочет им навредить.
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
Утечка данных Tea превращает безопасность женщин в игровую площадку для Хакеров
Вкратце
Утечка данных приложения Tea раскрыла 72 000 файлов и 1,1 миллиона личных сообщений, подчеркивая опасности централизованного хранения идентификационных данных и необходимость децентрализованных систем для защиты пользователей.
Ки Джеффрис, соучредитель децентрализованного мессенджера Session, поделился своим мнением о недавнем утечке данных приложения Tea, объяснив, как инцидент подчеркивает опасности централизованного хранения идентификационной информации и почему децентрализованные системы лучше подходят для защиты пользователей.
Приложение Tea, разработанное для женщин и обещавшее более безопасный опыт знакомств, закрыло свою систему обмена сообщениями после одного из крупнейших утечек данных в этом году. То, что начиналось как вирусная платформа для помощи женщинам в выявлении потенциально опасных мужчин, закончилось тем, что миллионы частных разговоров и документов удостоверяющих личность были опубликованы на форумах утечек.
Утечка, раскрытая в конце июля, затронула пользователей, которые присоединились до февраля 2024 года. По крайней мере, 72 000 файлов были раскрыты, включая государственные удостоверения личности, которые компания обещала удалить после верификации. Кроме того, более 1,1 миллиона личных сообщений были скомпрометированы, включая повседневные разговоры и крайне чувствительные обсуждения о насилии и здоровье.
Эксперты по безопасности считают, что крах был неизбежен. Ки Джеффрис отметил, что системы, которые собирают и централизуют личные идентификаторы, создают идеальную цель. Как только база данных содержит идентификаторы, селфи и нешифрованные метаданные, атакующим нужно лишь один раз взломать систему, чтобы получить доступ ко всему.
От Обещания к Экспозиции
Чай стал популярным благодаря предоставлению инструментов для поиска изображений профилей знакомств, проведения проверок биографии и создания, якобы, безопасного пространства для женщин. Однако его зависимость от обязательной проверки идентификации по селфи была фундаментальным недостатком.
По словам следователей, первая утечка произошла, когда незащищенный хранилищный бакет, очевидно, настроенный для запросов на соблюдение норм, был оставлен открытым. Файлы, которые должны были быть удалены, по-прежнему были доступны и были быстро скопированы. Через несколько дней отдельная уязвимость позволила злоумышленникам скачать целые архивы сообщений оптом, без каких-либо ограничений по скорости или шифрования, чтобы замедлить их.
То, что продавалось как защита, на самом деле предоставило потенциальным злоумышленникам подробную карту взаимодействий пользователей, включая временные метки и данные о местоположении.
Почему централизованные системы терпят неудачу?
Возьмем, к примеру, случай с Tea. Он подчеркивает существующие проблемы централизованных систем: хранение конфиденциальной информации на неопределенный срок, зависимость от единственных точек отказа и отсутствие надежного шифрования. В отличие от паролей, биометрические данные, такие как лица, нельзя легко изменить в случае утечки. Украденные селфи могут быть использованы для кражи личности, дипфейков или создания поддельных учетных записей.
Джеффрис отмечает, что даже если данные зашифрованы при хранении, это не сильно помогает, если ключи шифрования хранятся рядом с ними. «Кто, когда и где» цифровых разговоров, известное как метаданные, остается особенно уязвимым для тех, кто пытается избежать наблюдения или преследования.
Что можно было бы сделать иначе?
Существуют альтернативные проекты, которые могли бы предотвратить такой коллапс:
Согласно Джефферису, принятие этих принципов сделает значительно более трудным для злоумышленников извлечение значимых данных. Вместо одного нарушения, раскрывающего всё, необходимо будет одновременно преодолеть несколько децентрализованных барьеров.
Время для действий регуляторов
Защита Tea, ссылаясь на сохраненные идентификаторы для потенциальных расследований, выявляет более широкую политику недостатков. Регуляторы все чаще требуют проверки цифровых удостоверений личности, но редко применяют строгие правила удаления или децентрализованные меры безопасности. Без этих мер новые приложения могут повторить прошлые ошибки под предлогом безопасности.
Крах Tea иллюстрирует, как быстро может исчезнуть доверие, когда частная информация обрабатывается неправильно. Платформы, ориентированные на безопасность, не могут полагаться только на обещания. Если они не откажутся от централизованного хранения идентификаторов и не примут дизайны, ориентированные на конфиденциальность, они рискуют стать не убежищем для женщин, а схемой для тех, кто хочет им навредить.