Hoppá, megtaláltam az Epstein-aktákat: Egy hét digitális káosz és FBI-baklövések

Az a hét, amikor az internet teljesen megőrült

Ha azt gondolod, hogy a heted azért ment rosszul, mert elfelejtetted a Tesco Clubcard-odat vagy lekésted a buszt a szakadó esőben, gondolj egy pillanatra az FBI informatikai osztályára. Kiderült, hogy a világ leghíresebb nyomozóügynöksége digitálisan olyan, mintha a bejárati ajtót egy félig megett Greggs kolbászos zsemle tartaná nyitva. Olyan fordulat következett be, ami inkább egy olcsó szitkom forgatókönyvére emlékeztet, mint egy tétekkel teli thrillerre: egy biztonsági kutató véletlenül botlott bele a modern történelem egyik legérzékenyebb iratanyagába, a Jeffrey Epstein-aktákba.

Olyan korszakban élünk, amelyben állandóan azt mondják nekünk, hogy használjunk összetett jelszavakat, kapcsoljuk be a kétlépéses hitelesítést, és figyeljünk az ismeretlen hercegektől érkező gyanús e-mailekre. Mégis, azok a szervezetek, amelyeknek a rendet kellene fenntartaniuk, úgy tűnik, az alapokkal is küszködnek. Ez a hét mesterkurzus volt abból, hogyan ne csináljuk a kiberbiztonságot, a kormányzati ballépésektől egészen az intim titkainkat kiszivárogtatóalkalmazásokig. Merüljünk bele a káoszba, ugye?

Az FBI nyitott ajtós politikája

A digitális cirkusz fő attrakciója egy Lassi nevű biztonsági kutató. Miközben böngészgetett a Bűnüldözési Vállalati Portálon (LEEP), amely sokkal lenyűgözőbben hangzik, mint amilyennek bizonyult, Lassi rájött, hogy mesteri kulcs nélkül is rengeteg információhoz hozzáférhet. Ez nem volt semmiféle Mission: Impossible-stílusú betörés lézerhálókkal és mennyezetről lógással. Inkább arról volt szó, hogy a megfelelő linkekre kattintva rájött: a virtuális kerítésen hatalmas, emberméretű lyuk tátong.

A digitális rendetlenség között Epstein-akták is akadtak. Azok számára, akik az utóbbi időben szikla alatt éltek: Epstein egy elhunyt pénzügyi befektető, akinek ismerősi listája olyan emberekből áll, akik valójában inkább nem szerepelnének semmilyen listán. Az a tény, hogy ezeket az aktákat lényegében nyitva hagyták egy virtuális folyosó lezáratlan irattárolójában, elképesztő. Az FBI azóta bezárta a kiskaput, de a technikai hozzáértésükbe vetett bizalom valószínűleg örökre megsérült. Komoly kérdést vet fel: ha az FBI nem tudja megvédeni a legismertebb bizonyítékait, mi reménykedhetünk egyáltalán?

Brit szemszögből nézve ez különösen bosszantó. Az amerikai ügynökségeket gyakran az intelligencia és a biztonság arany standardjaként emlegetjük. Ha ők ennyire hanyagok, az elgondolkodtatja az embert a saját hazai adatbázisaink állapotáról is. A megélhetési válság minden fillért kinyom a brit közvéleményből, és egyszerűen nem engedhetjük meg magunknak az olyan hatalmas adatszivárgások következményeit, amelyek személyazonosság-lopáshoz és pénzügyi csaláshoz vezetnek. A felelős személyeknek jobbnak kell lenniük ennél.

Az alkalmazás, amely túl sokat tudott

Ha az FBI-botrány a nemzeti szégyen kategóriájába esett, a következő történet mélységesen személyes árulás. Van egy Victory nevű alkalmazás, amelyet arra terveztek, hogy segítsen az embereknek leszokni a pornónézésről. Ez egy olyan eszközcsomag része, amely elszámoltathatósági partnereket és haladáskövetést is tartalmaz. Olyan app, amelyet akkor használsz, amikor a legkiszolgáltatottabb vagy, és pozitív változást szeretnél hozni az életedbe. Sajnos az alkalmazás biztonsága nagyjából annyira volt megbízható, mint egy nedves papírzacskó.

Kutatók fedezték fel, hogy az alkalmazás több százezer felhasználó rendkívül érzékeny szokásait szivárogtatja ki. Olyan adatokról van szó, amelyek zsarolásra vagy súlyos társadalmi megaláztatásra adnak lehetőséget. Az irónia elég vastag ahhoz, hogy vajként kenjük kenyérre: egy app, amelynek biztonságos teret kellett volna nyújtania az önfejlesztéshez, végül pontosan azzal szemben tette ki felhasználóit, amit el akartak kerülni. Ez kemény emlékeztető arra, hogy amikor a legszemélyesebb adatainkat adjuk egy alkalmazásnak, egy hatalmas hitbeli ugrást teszünk.

A (nem annyira) ingyenes szoftverek valódi ára

Az Egyesült Királyságban szigorú GDPR-szabályok vannak érvényben, amelyeknek elvileg meg kellene védeniük minket az ilyen ostobaságoktól. Azonban a külföldön fejlesztett alkalmazások sokszor más szabályok szerint játszanak, vagy egyáltalán nem tartanak be semmilyen szabályt. A Victory-kiszivárgás emlékeztet arra, hogy az adatvédelem nem csupán egy funkció, hanem alapvető jog. Amikor egy vállalat ezt nem védi meg, nemcsak az üzletben vall kudarcot, hanem az alapvető emberi tisztességben is. Az önsegítő alkalmazásokat használók számára a tanács egyértelmű: ellenőrizd az engedélyeket, olvasd el az adatvédelmi szabályzatot, és ha gyanúsnak tűnik, valószínűleg az is.

A Signal ostrom alatt: Az orosz kapcsolat

A személyes szokásoktól a nemzetközi kémkedés felé fordulva: orosz hackerek célozzák meg a Signal-fiókokat. A Signal sokáig az adatvédelmi világ kedvence volt, amelyet mindenki ajánlott Edward Snowdentől kezdve a Faraday-ketrecben lakó tech-mánia unokatestvérünkig. Végponttól végpontig tartó titkosítást használ, ami azt jelenti, hogy még maga a cég sem tudja olvasni az üzeneteidet. A hackerek azonban megtalálták a kerülőutat: nem a titkosítást törik fel, hanem a felhasználókat veszik célba.

A Sandworm nevű csoport (a szakértők körében APT44 néven ismert) okos social engineering technikákkal veszi rá az embereket arra, hogy Signal-fiókjukat egy hackerek által irányított asztali verzióhoz kapcsolják. Ha ez a kapcsolat létrejön, minden üzeneted valós időben láthatóvá válik számukra. Ez zseniális, ha egyben ijesztő is. Nem a zárat törik fel, hanem rávesznek arra, hogy átadd nekik a tartalékkulcsot.

Számunkra az Egyesült Királyságban ez időszerű emlékeztető arra, hogy bármely biztonsági rendszer legnagyobb gyengesége általában maga a felhasználó. Lehet a világon a legjobb titkosításunk, de ha egy jól megírt üzenet vagy egy hamis bejelentkezési képernyő könnyen becsap minket, mindez hiábavaló. Az oroszok hosszú távú játékot játszanak, és nagyon jók ebben. Nekünk is ugyanolyan élesnek kell lennünk.

Az ítélet: Szánalmas állapotok

Mit tanultunk ezen a héten a digitális pusztításból? Először is, hogy az FBI-nak jobb webfejlesztőket kellene alkalmaznia. Másodszor, hogy az állítólag privát appjaink lehet, hogy egyáltalán nem azok. Harmadszor, hogy még a legbiztonságosabb platformok is sebezhetők egy ügyes trükktől. Ez elszomorító állapot, különösen akkor, amikor már egy lassú gazdasággal és egyre instabilabb világgal is megküzdünk.

A modern tech előnyei: A világ összes információja a rendelkezésünkre áll, és azonnali kommunikációra vagyunk képesek bárkivel, bárhol.

A modern tech hátrányai: Ezek az információk magukban foglalhatják az FBI Epstein-aktáit, az üzeneteidet talán egy unatkozó moszkvai ügynök olvassa, miközben a leszokósegítő appod elmondja a világnak a keddi esti szokásaidról.

Van-e fény az alagút végén? Talán. Ezek az esetek ébresztőként szolgálnak. Emlékeztetnek minket arra, hogy legyünk szkeptikusak, legyünk óvatosak, és soha ne feltételezzük, hogy a biztonságos valóban biztonságot jelent. Ha Signalt használsz, ellenőrizd a kapcsolt eszközöket. Ha önsegítő appokat használsz, fontold meg inkább a papírnaplót. Ha pedig te vagy az FBI, talán próbáld ki, hogy kikapcsolod és visszakapcsolod a portált, vagy legalább tegyél rá egy rendes jelszót.

A tech-világ ár-érték aránya jelenleg minden idők mélypontján van, ha beleszámítjuk az adatvédelmünk árát. Olyan eszközökért és szolgáltatásokért fizetünk, amelyek az adatainkat sokszor kereskedési cikként kezelik, vagy egyszerűen figyelmen kívül hagyják. Ideje, hogy jogosan elvárjuk a jobbat. Addig is maradj biztonságban, tartsd hosszúnak a jelszavaidat, és az isten szerelmére, ne kattints olyan linkekre, amelyeket nem ismersz.

Olvasd el az eredeti cikket: forrás.