Czy wiesz, ile Twoich danych osobowych i prywatnych istnieje w Internecie, aby każdy mógł je zobaczyć? Nawet jeśli myślisz, że te informacje są przechowywane za dobrze utrzymanymi murami bezpieczeństwa, może tak nie być. Problem ten został podkreślony w zeszłym tygodniu, kiedy badacze odkryli, że wiele witryn zbudowanych za pomocą oprogramowania Salesforce Community „wycieka” prywatne informacje każdemu, kto może ponownie wpisać adres URL.
W istocie problem dotyczy tego, kto może „posiadać” Twoje prywatne dane i kto kontroluje dostęp do nich. Internet został pierwotnie zaprojektowany w celu ułatwienia udostępniania danych i otwartości. Gdy stała się siecią komunikacyjną do wymiany wszelkiego rodzaju informacji, zarówno publicznych, jak i poufnych, opracowano i dodano funkcje bezpieczeństwa, a także kontrole nad tym, kto może uzyskać dostęp do niektórych danych i jak.
Zbyt często błąd ludzki lub brak umiejętności prowadzi do poważnych naruszeń lub cichych „wycieków” prywatnych informacji. Chociaż zwiększanie wiedzy i umiejętności jest oczywistym sposobem na ich uniknięcie, ma to również swoje słabe strony. Lepiej byłoby przemyśleć i przeprojektować cały model bezpieczeństwa Internetu, używając zaszyfrowanych i przechowywanych w łańcuchu bloków informacji, które pozwalają użytkownikom „posiadać” własne dane osobowe i cyfrowe tokeny dostępu z bardziej szczegółową kontrolą nad tym, kto może uzyskać do nich dostęp.
Dzięki systemowi opartemu na tokenie/łańcuchu bloków dostęp może być ograniczony tylko do określonych osób, tylko do określonych celów, a nawet na określony czas. Indywidualne uprawnienia można łatwo nadawać lub cofać, a łańcuch bloków rejestruje wszystko, co się wydarzyło — kto i kiedy uzyskał dostęp do określonych danych oraz czy któryś z zapisów został zmieniony.
Kwestia społeczności Salesforce
Doug Merrett, konsultant ds. bezpieczeństwa i 13-letni pracownik Salesforce, szczegółowo opisał, w jaki sposób pojawia się problem, i opublikował poradniki, jak go uniknąć. Problem dotyczy opartego na chmurze oprogramowania Salesforce do tworzenia witryn internetowych Digital Experiences/Experience Cloud, dawniej Salesforce Aura Communities. Pozwala każdemu tworzyć internetowe bazy danych z niestandardowymi układami, w tym danymi osobowymi, do dowolnej liczby celów, w zależności od branży i wymagań.
Merrett opisał, w jaki sposób użytkownicy Salesforce Community mogą uzyskać dostęp do danych osobowych innych osób poprzez „hakowanie” adresu URL. Wiąże się to z ręcznym wpisywaniem informacji w polu adresu URL przeglądarki, aby wyświetlić inne strony, zamiast nawigowania do nich za pomocą interfejsu witryny. Jest to jedna z najbardziej podstawowych form hakowania, ponieważ obejmuje tylko najbardziej podstawowe umiejętności techniczne (plus może sprytne zgadywanie) i jest to technika, z której wielu korzystało od najwcześniejszych dni przeglądarek internetowych, aby zobaczyć strony, których menedżer witryny nie zamierzasz zobaczyć. Na przykład profil firmowy pracownika, który pozostawił firmowe linki do swojej strony, został usunięty z głównej witryny, ale same dane nie zostały usunięte z serwera.
Obecnie większość projektantów stron internetowych jest dobrze zaznajomiona z tą techniką i obejdzie ją za pomocą przekierowań stron i poziomów dostępu do konta, choć nadal jest to możliwe w wielu witrynach.
Na stronach utworzonych przez społeczność Salesforce może być możliwe przeglądanie rekordów innych osób wraz z informacjami, które powinny być prywatne, poprzez zastąpienie ciągu cyfr identyfikatora rekordu w adresie URL. Musisz znać poprawny format identyfikatora rekordu, ale może to wywnioskować każdy, kto zna system lub ma podstawowe umiejętności rozpoznawania wzorców.
Merrett zauważył, że administratorzy mogą uniknąć tego problemu, ustawiając bardziej restrykcyjne poziomy dostępu gościa/użytkownika lub zmieniając ustawienia w celu przekierowania wszystkich użytkowników, którzy próbują ręcznie zmienić adres URL. Ponieważ administratorzy mają taką możliwość, Salesforce nie uznał tego problemu za błąd bezpieczeństwa.
Brian Krebs, pisarz zajmujący się bezpieczeństwem, zauważył w zeszłym tygodniu, że było kilka przypadków, w których osoby z zewnątrz mogły przeglądać prywatne informacje (daty urodzenia, numery telefonów domowych) w rekordach bazy danych. Niektórzy administratorzy zezwalali nawet użytkownikom-gościom bez kont logowania na przeglądanie informacji, co jeszcze bardziej utrudnia ustalenie, kto mógł uzyskiwać dostęp do czego. Przykłady obejmowały prywatne dane osób ubiegających się o pomoc dla bezrobotnych w Vermont, wraz z imionami i nazwiskami oraz numerami ubezpieczenia społecznego, numerami i adresami telefonów domowych, adresami e-mail, a nawet numerami kont bankowych.
Huntington Bank w Ohio miał również witrynę społeczności Salesforce z „nieszczelnymi” danymi, które ujawniały wszystkie powyższe informacje, a także szczegóły listy płac i informacje o pożyczkach. Analitycy bezpieczeństwa powiedzieli, że skontaktowali się z administratorami kilku innych witryn z tymi samymi lukami w zabezpieczeniach, często otrzymując odmowę lub brak odpowiedzi.
Zmniejszenie błędu ludzkiego i złagodzenie braku umiejętności programistycznych
Problem Salesforce jest prawdopodobnie spowodowany złymi zasadami administratora niż niedociągnięciami technicznymi. Jeśli system jest źle skonfigurowany lub ustawienia zabezpieczeń są „pozostawiane jako domyślne”, problem leży bardziej w poziomie umiejętności administratora i/lub zasobach czasowych niż w tym, co powinien on zrobić.
Dyrektor ds. bezpieczeństwa informacji w Vermont, Scott Carbee, przypisał problem „mnóstwu aplikacji” o pomoc podczas pandemii COVID-19, co doprowadziło do tworzenia witryn Salesforce przez mniej doświadczonych programistów.
Podobnie hasło pozostawione jako domyślne (np. na routerze Wi-Fi) lub zbyt proste/oczywiste hasło do konta Gmail umożliwia wystąpienie problemów z bezpieczeństwem, a większość obwinia użytkownika za sam system, ponieważ masz możliwość ustaw bezpieczniejsze hasła, jeśli masz na to ochotę. Salesforce wydaje nawet przewodniki, jak najlepiej skonfigurować dostęp i zabezpieczenia.
Ale co, jeśli dostęp w ogóle nie był określany przez hasło? Co jeśli Twój dostęp do konta był podyktowany zaszyfrowanym tokenem dostępu tworzonym automatycznie i przechowywanym w cyfrowym portfelu? Możesz mieć pełne bezpieczeństwo silnego hasła bez konieczności jego ustawiania.
Systemy można projektować tak, aby zminimalizować ilość pracy, którą użytkownik musi wykonać, aby zapewnić im bezpieczeństwo. Im więcej zabezpieczeń wbudowanych w ten system na najwyższym poziomie, bez konieczności dodatkowej konfiguracji ze strony administratorów i indywidualnych użytkowników, tym lepiej.
Potrzebujesz, aby Twój bank i ubezpieczyciel znali Twoje pełne dane kontaktowe i pełną historię interakcji z instytucją, ale to nie znaczy, że chcesz, aby każdy pracownik tych instytucji mógł zobaczyć Twoje dane. Nawet dzisiaj większość internetowych baz danych działa z tą myślą, ale dane wciąż wyciekają. Chociaż istnieją standardy i biblioteki, większość witryn i ich funkcji bezpieczeństwa jest tworzona indywidualnie. Mogą nie być tak bezpieczne, na jakie wyglądają, a ich zapisy są zazwyczaj niekompatybilne z innymi systemami zewnętrznymi. Ostatecznie większość użytkowników będzie wprowadzać prywatne dane (lub zlecać ich wprowadzanie innym) do internetowych baz danych, nie wiedząc, jak bardzo są one bezpieczne.
Blockchain jest odpowiedzią i tylko blockchain BSV
System bezpieczeństwa oparty na tokenie/łańcuchu bloków umożliwiłby tworzenie baz danych opartych na jednym standardzie z informacjami przechowywanymi w jednej uniwersalnej księdze prawdy. Zaszyfrowany token identyfikatora cyfrowego z Twoimi podstawowymi danymi osobowymi może istnieć tylko w jednym miejscu, a użytkownik udziela dostępu tylko wtedy, gdy jest to konieczne. Dane osobowe tworzone przez instytucje (np. rejestry pożyczek lub roszczenia ubezpieczeniowe) mogą również podlegać tokenizacji, być może przy użyciu subtokenów, które nadal dawały jednostkom ostateczną własność i kontrolę dostępu do danych, które ich dotyczą, wraz z rejestrami sposobu wykorzystania tych danych.
Jest to możliwe tylko w sieci blockchain, która przetwarza dane z dowodem pracy (wykazano, że jest bezpieczniejszy niż inne protokoły, takie jak dowód stawki) i ma wystarczającą pojemność przetwarzania i przechowywania danych, aby obsłużyć tyle informacji, ile istnieje na Internet dzisiaj. Na dzień dzisiejszy blockchain BSV jest jedyną siecią z takimi możliwościami.
Zmiana modelu bezpieczeństwa danych w Internecie wymaga fundamentalnej, jeśli nie radykalnej, zmiany podejścia do tworzenia solidnych metod dostępu do danych oraz zmiany kulturowej, w której ludzie postrzegają swoje prywatne dane jako coś, co powinni posiadać i chronić, zamiast przekazywać je każdemu, kto o nie poprosi. . Nadchodzą jednak radykalne zmiany, niezależnie od tego, czy stosuje się BSV czy blockchain, czy nie, ponieważ coraz większa część naszego życia opiera się na danych. O wiele lepiej jest przeprowadzić te rozmowy jak najszybciej, zanim będzie za późno lub zanim bardziej przeciętne rozwiązania staną się powszechnie stosowane.
Obejrzyj Gregory’ego Warda: Blockchain BSV doskonale nadaje się do cyberbezpieczeństwa
Autor : BitcoinSV.pl
Źródło : How the BSV blockchain can prevent data ‘leaks’ of your private information – CoinGeek