كشف خرق بيانات تطبيق تي عن 72,000 ملف و 1.1 مليون رسالة خاصة، مما يبرز مخاطر تخزين الهوية المركزية والحاجة إلى أنظمة لامركزية لحماية المستخدمين.
شارك كي جيفريز، المؤسس المشارك للرسالة اللامركزية Session، وجهة نظره حول اختراق بيانات تطبيق Tea الأخير، موضحًا كيف يبرز الحادث مخاطر تخزين الهوية المركزية ولماذا الأنظمة اللامركزية أكثر ملاءمة لحماية المستخدمين.
أغلقت تطبيق "تي"، المصمم للنساء والذي وعد بتجربة مواعدة أكثر أمانًا، نظام الرسائل الخاص بها بعد واحدة من أكبر خروقات البيانات لهذا العام. ما بدأ كمنصة فيروسية لمساعدة النساء في الإبلاغ عن الرجال المحتملين الخطرين انتهى بمشاركة ملايين المحادثات الخاصة ومستندات الهوية على منتديات التسريبات.
الكشف عن الاختراق، الذي تم الكشف عنه في أواخر يوليو، أثر على المستخدمين الذين انضموا قبل فبراير 2024. تم كشف ما لا يقل عن 72,000 ملف، بما في ذلك بطاقات الهوية الحكومية التي وعدت الشركة بحذفها بعد التحقق. بالإضافة إلى ذلك، تم تعريض أكثر من 1.1 مليون رسالة خاصة للخطر، تتراوح بين المحادثات اليومية إلى مناقشات حساسة للغاية حول الإساءة والصحة.
يقول خبراء الأمن إن الانهيار كان حتمياً. أشار كي جيفريز إلى أن الأنظمة التي تجمع وت centralized المعلومات الشخصية تخلق الهدف النهائي. بمجرد أن تحتوي قاعدة البيانات على معرفات وصور شخصية وبيانات وصفية غير مشفرة، يحتاج المهاجمون إلى الاختراق مرة واحدة فقط للوصول إلى كل شيء.
من الوعد إلى التعرض
أصبح الشاي شائعًا من خلال توفير أدوات للبحث عن الصور العكسية لملفات التعارف، وإجراء فحوصات خلفية، وخلق مساحة يُفترض أنها آمنة للنساء. ومع ذلك، كانت اعتماده على التحقق الإجباري من الهوية عبر السيلفي عيبًا أساسيًا.
وفقًا للمحققين، حدثت التسرب الأول عندما تم ترك دلو التخزين غير المؤمّن، الذي تم إعداده على ما يبدو لطلبات الامتثال، مكشوفًا. كانت الملفات التي كان ينبغي حذفها لا تزال قابلة للوصول وتم نسخها بسرعة. بعد بضعة أيام، سمحت ثغرة منفصلة للمهاجمين بتحميل أرشيفات الرسائل بالكامل بكميات كبيرة، دون أي حدود سرعة أو تشفير لإبطائهم.
ما تم بيعه كحماية بدلاً من ذلك أعطى المعتدين المحتملين خريطة مفصلة لتفاعلات المستخدمين، كاملة مع الطوابع الزمنية وبيانات الموقع.
لماذا تفشل المركزية؟
خذ حالة الشاي، على سبيل المثال. إنها تبرز المشاكل المستمرة مع الأنظمة المركزية: تخزين المعلومات الحساسة إلى أجل غير مسمى، الاعتماد على نقاط فشل واحدة، وغياب التشفير القوي. على عكس كلمات المرور، لا يمكن تغيير البيانات البيومترية مثل الوجوه بسهولة إذا تم تسريبها. يمكن استخدام الصور الشخصية المسروقة لسرقة الهوية، أو لصنع مقاطع مزيفة، أو لإنشاء حسابات وهمية.
يشير جيفري إلى أنه حتى إذا كانت البيانات مشفرة عند التخزين، فإن ذلك ليس مفيدًا كثيرًا إذا كانت مفاتيح التشفير مخزنة بجانبها. تظل "من، متى، وأين" المحادثات الرقمية، المعروفة باسم البيانات الوصفية، معرضة بشكل خاص لأولئك الذين يحاولون التهرب من المراقبة أو المضايقة.
ماذا يمكن أن يتم بشكل مختلف؟
تصميمات بديلة موجودة كان من الممكن أن تمنع مثل هذا الانهيار:
يمكن لإثباتات المعرفة الصفرية التحقق من العمر أو الجنس دون الاحتفاظ بصور حساسة.
يمكن للشبكات اللامركزية توزيع البيانات عبر العقد، مما يقضي على وجود جائزة واحدة للمهاجمين.
يمكن أن تحافظ التشفير من النهاية إلى النهاية على سرية الرسائل حتى عن الخوادم التي تنقلها.
وفقًا لجيفريز، فإن اعتماد هذه المبادئ سيجعل من الصعب للغاية على المهاجمين استخراج بيانات ذات مغزى. بدلاً من أن يكشف خرق واحد عن كل شيء، سيتعين كسر عدة حواجز لامركزية في وقت واحد.
حان الوقت للجهات التنظيمية للتحرك
دفاع تي، الذي يستشهد بالمعرفات المحتفظ بها للتحقيقات المحتملة، يكشف عن فجوة أوسع في السياسة. تتطلب الجهات التنظيمية بشكل متزايد التحقق من الهوية الرقمية ولكن نادراً ما تفرض قواعد صارمة للحذف أو حماية لامركزية. بدون هذه التدابير، قد تكرر التطبيقات الجديدة الأخطاء الماضية تحت ستار الأمان.
إن انهيار Tea يوضح مدى سرعة تلاشي الثقة عندما يتم التعامل مع المعلومات الخاصة بشكل غير صحيح. لا يمكن للمنصات التي تركز على السلامة الاعتماد فقط على الوعود. ما لم يتخلوا عن تخزين الهوية المركزية ويتبنوا تصاميم تركز على الخصوصية، فإنهم يواجهون خطر أن يصبحوا أقل ملاذًا للنساء من كونهم مخططًا لأولئك الذين يرغبون في إيذائهن.
شاهد النسخة الأصلية
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
خرق بيانات الشاي يحول سلامة النساء إلى ملعب للهاكرز
باختصار
كشف خرق بيانات تطبيق تي عن 72,000 ملف و 1.1 مليون رسالة خاصة، مما يبرز مخاطر تخزين الهوية المركزية والحاجة إلى أنظمة لامركزية لحماية المستخدمين.
شارك كي جيفريز، المؤسس المشارك للرسالة اللامركزية Session، وجهة نظره حول اختراق بيانات تطبيق Tea الأخير، موضحًا كيف يبرز الحادث مخاطر تخزين الهوية المركزية ولماذا الأنظمة اللامركزية أكثر ملاءمة لحماية المستخدمين.
أغلقت تطبيق "تي"، المصمم للنساء والذي وعد بتجربة مواعدة أكثر أمانًا، نظام الرسائل الخاص بها بعد واحدة من أكبر خروقات البيانات لهذا العام. ما بدأ كمنصة فيروسية لمساعدة النساء في الإبلاغ عن الرجال المحتملين الخطرين انتهى بمشاركة ملايين المحادثات الخاصة ومستندات الهوية على منتديات التسريبات.
الكشف عن الاختراق، الذي تم الكشف عنه في أواخر يوليو، أثر على المستخدمين الذين انضموا قبل فبراير 2024. تم كشف ما لا يقل عن 72,000 ملف، بما في ذلك بطاقات الهوية الحكومية التي وعدت الشركة بحذفها بعد التحقق. بالإضافة إلى ذلك، تم تعريض أكثر من 1.1 مليون رسالة خاصة للخطر، تتراوح بين المحادثات اليومية إلى مناقشات حساسة للغاية حول الإساءة والصحة.
يقول خبراء الأمن إن الانهيار كان حتمياً. أشار كي جيفريز إلى أن الأنظمة التي تجمع وت centralized المعلومات الشخصية تخلق الهدف النهائي. بمجرد أن تحتوي قاعدة البيانات على معرفات وصور شخصية وبيانات وصفية غير مشفرة، يحتاج المهاجمون إلى الاختراق مرة واحدة فقط للوصول إلى كل شيء.
من الوعد إلى التعرض
أصبح الشاي شائعًا من خلال توفير أدوات للبحث عن الصور العكسية لملفات التعارف، وإجراء فحوصات خلفية، وخلق مساحة يُفترض أنها آمنة للنساء. ومع ذلك، كانت اعتماده على التحقق الإجباري من الهوية عبر السيلفي عيبًا أساسيًا.
وفقًا للمحققين، حدثت التسرب الأول عندما تم ترك دلو التخزين غير المؤمّن، الذي تم إعداده على ما يبدو لطلبات الامتثال، مكشوفًا. كانت الملفات التي كان ينبغي حذفها لا تزال قابلة للوصول وتم نسخها بسرعة. بعد بضعة أيام، سمحت ثغرة منفصلة للمهاجمين بتحميل أرشيفات الرسائل بالكامل بكميات كبيرة، دون أي حدود سرعة أو تشفير لإبطائهم.
ما تم بيعه كحماية بدلاً من ذلك أعطى المعتدين المحتملين خريطة مفصلة لتفاعلات المستخدمين، كاملة مع الطوابع الزمنية وبيانات الموقع.
لماذا تفشل المركزية؟
خذ حالة الشاي، على سبيل المثال. إنها تبرز المشاكل المستمرة مع الأنظمة المركزية: تخزين المعلومات الحساسة إلى أجل غير مسمى، الاعتماد على نقاط فشل واحدة، وغياب التشفير القوي. على عكس كلمات المرور، لا يمكن تغيير البيانات البيومترية مثل الوجوه بسهولة إذا تم تسريبها. يمكن استخدام الصور الشخصية المسروقة لسرقة الهوية، أو لصنع مقاطع مزيفة، أو لإنشاء حسابات وهمية.
يشير جيفري إلى أنه حتى إذا كانت البيانات مشفرة عند التخزين، فإن ذلك ليس مفيدًا كثيرًا إذا كانت مفاتيح التشفير مخزنة بجانبها. تظل "من، متى، وأين" المحادثات الرقمية، المعروفة باسم البيانات الوصفية، معرضة بشكل خاص لأولئك الذين يحاولون التهرب من المراقبة أو المضايقة.
ماذا يمكن أن يتم بشكل مختلف؟
تصميمات بديلة موجودة كان من الممكن أن تمنع مثل هذا الانهيار:
وفقًا لجيفريز، فإن اعتماد هذه المبادئ سيجعل من الصعب للغاية على المهاجمين استخراج بيانات ذات مغزى. بدلاً من أن يكشف خرق واحد عن كل شيء، سيتعين كسر عدة حواجز لامركزية في وقت واحد.
حان الوقت للجهات التنظيمية للتحرك
دفاع تي، الذي يستشهد بالمعرفات المحتفظ بها للتحقيقات المحتملة، يكشف عن فجوة أوسع في السياسة. تتطلب الجهات التنظيمية بشكل متزايد التحقق من الهوية الرقمية ولكن نادراً ما تفرض قواعد صارمة للحذف أو حماية لامركزية. بدون هذه التدابير، قد تكرر التطبيقات الجديدة الأخطاء الماضية تحت ستار الأمان.
إن انهيار Tea يوضح مدى سرعة تلاشي الثقة عندما يتم التعامل مع المعلومات الخاصة بشكل غير صحيح. لا يمكن للمنصات التي تركز على السلامة الاعتماد فقط على الوعود. ما لم يتخلوا عن تخزين الهوية المركزية ويتبنوا تصاميم تركز على الخصوصية، فإنهم يواجهون خطر أن يصبحوا أقل ملاذًا للنساء من كونهم مخططًا لأولئك الذين يرغبون في إيذائهن.