去中心化的Messenger會議的聯合創始人Kee Jefferys分享了他對最近的Tea App數據洩露的看法,解釋了該事件如何突出中心化ID存儲的危險以及為什麼去中心化的系統更適合保護用戶。
Tea是為承諾具有更安全約會經驗的女性設計的應用程序,它在年度最大的數據洩露之一之後關閉了其消息系統。最初是一個病毒式平台,以幫助女性舉報潛在的危險男人,以數百萬的私人對話和ID文件在洩漏論壇上共享。
違規行為於7月下旬透露,影響了2024年2月之前加入的用戶。暴露了至少72,000個文件,包括該公司承諾在驗證後刪除的政府ID。最重要的是,超過110萬個私人消息受到損害,從日常聊天到有關虐待和健康的高度敏感的討論。
安全專家說,崩盤是不可避免的。 Kee Jefferys指出,收集和中心化個人標識符的系統創建了最終目標。一旦數據庫包含ID,自拍照和未加密的元數據,攻擊者只需要一次突破即可訪問所有內容。
從承諾到曝光
通過提供逆轉圖像搜索約會概況,進行背景調查並為女性創造安全空間的工具,茶變得很受歡迎。但是,它依賴強制性自拍驗證是一個基本缺陷。
根據調查人員的說法,第一次洩漏發生在顯然是為了合規請求的無質押儲物桶時。應該刪除的文件仍然可以訪問並迅速復制。幾天后,一個單獨的漏洞使攻擊者可以批量下載整個消息檔案,而無需任何速率限製或加密貨幣以減慢它們。
賣出的保護代替為潛在的濫用者提供了用戶互動的詳細地圖,並附有時間戳和位置數據。
為什麼中心化失敗?
以茶盒為例。它強調了中心化系統正在進行的問題:無限期地存儲敏感信息,依靠單個失敗點以及缺乏強大的加密貨幣。與密碼不同,如果洩漏,則無法輕鬆更改諸如面部的生物識別數據。被盜的自拍照可用於身份盜用,深擊或設置假帳戶。
杰弗里斯(Jefferys)指出,即使在存儲時對數據進行了加密貨幣,也不會有太大幫助,如果加密貨幣密鑰與其旁邊存儲在一起。數字對話的“誰,何時和何處”被稱為元數據,仍然特別容易受到試圖逃避監視或騷擾的人的攻擊。
可以做什麼不同?
存在可能阻止這種崩盤的替代設計:
零知識證明可以在不保留敏感照片的情況下驗證年齡或性別。去中心化的網絡可以在節點上分發數據,從而消除了攻擊者的單個頭獎。端到端的加密貨幣甚至可以使消息不可讀取到繼電器的服務器。
根據杰弗里斯(Jefferys)的說法,採用這些原則將使攻擊者更難提取有意義的數據。多個去中心化的障礙物將不得立即打破,而不是違反所有事物。
監管機構採取行動的時間
Tea的辯護以保留ID進行潛在調查的辯護揭示了更大的政策差距。監管機構越來越多地需要數字ID驗證,但很少執行嚴格的刪除規則或去中心化的保障措施。沒有這些措施,新應用程序可能會以安全的幌子重複過去的錯誤。
茶的崩盤說明了當私人信息不當時,信任可以消散的速度。以安全為中心的平台不能僅依靠承諾。除非他們放棄中心化的ID存儲並採用以隱私為中心的設計,否則他們的風險與希望傷害她們的人相比,對女性的避難所而不是婦女的避難所。
資訊來源:由0x資訊編譯自出MPOST。版權歸作者Victoria d’Este所有,未經許可,不得轉載