S3 Ep135: Sysadmin ในตอนกลางวัน นักกรรโชกในตอนกลางคืน

S3 Ep135: Sysadmin ในตอนกลางวัน นักกรรโชกในตอนกลางคืน

ประทับเวลา: 18 พฤษภาคม 2023 2:48 น
โหนดต้นทาง: 2662163
by

การโจมตีจากบุคคลภายใน (ซึ่งบุคคลนั้นถูกจับได้)

ไม่มีเครื่องเล่นเสียงด้านล่าง? ฟัง โดยตรง บนซาวด์คลาวด์

ดั๊ก เอมอธ และพอล ดักคลิน เพลงอินโทรและเอาท์โดย อีดิธ มัดจ์.

สามารถรับฟังเราได้ที่ Soundcloud, Apple Podcasts, Google Podcast, Spotify, Stitcher และทุกที่ที่มีพอดแคสต์ดีๆ หรือเพียงแค่วาง URL ของฟีด RSS ของเรา ลงในพอดแคตเตอร์ที่คุณชื่นชอบ

อ่านข้อความถอดเสียง

ดั๊ก.  Inside job การจดจำใบหน้า และตัว "S" ใน "IoT" ยังคงหมายถึง "ความปลอดภัย"

ทั้งหมดนั้นและอีกมากมายในพอดแคสต์ Naked Security

[โมเด็มดนตรี]

ยินดีต้อนรับสู่พอดคาสต์ทุกคน

ฉัน Doug Aamoth; เขาคือพอล ดักคลิน

พอล วันนี้คุณเป็นอย่างไรบ้าง

เป็ด.  ดีมากดั๊ก

คุณรู้จักคำพูดติดปากของคุณ “เราจะจับตาดูสิ่งนั้น” ไหม?

ดั๊ก.  [หัวเราะ] โฮ โฮ โฮ โฮ!

เป็ด.  น่าเศร้าที่สัปดาห์นี้มีหลายสิ่งหลายอย่างที่เรา "เฝ้าดู" และยังคงจบลงได้ไม่ดีนัก

ดั๊ก.  ใช่ เรามีผู้เล่นตัวจริงที่น่าสนใจและไม่ธรรมดาในสัปดาห์นี้

ลองเข้าไปดูกัน

แต่ก่อนอื่นเราจะเริ่มต้นด้วยของเรา สัปดาห์นี้ในประวัติศาสตร์เทคโนโลยี ส่วน

ในสัปดาห์นี้ในวันที่ 19 พฤษภาคม พ.ศ. 1980 Apple III ได้รับการประกาศ

โดยจะจัดส่งในเดือนพฤศจิกายน พ.ศ. 1980 ซึ่งเป็นจุดที่มีการเรียกคืน Apple III นอกสายการผลิต 14,000 เครื่องแรก

เครื่องจะถูกนำมาใช้อีกครั้งในเดือนพฤศจิกายน พ.ศ. 1981

เรื่องสั้นสั้น Apple III ล้มเหลว

Steve Wozniak ผู้ร่วมก่อตั้ง Apple กล่าวถึงความล้มเหลวของเครื่องว่าเกิดจากการออกแบบโดยนักการตลาดแทนที่จะเป็นวิศวกร

อุ๊ย!

เป็ด.  ฉันไม่รู้จะพูดอะไรกับสิ่งนั้น ดั๊ก [หัวเราะ]

ฉันพยายามที่จะไม่แสยะยิ้ม ในฐานะคนที่คิดว่าตัวเองเป็นนักเทคโนโลยี ไม่ใช่นักการตลาด

ฉันคิดว่า Apple III ควรจะดูดีและเท่ และควรใช้ประโยชน์จากความสำเร็จของ Apple II

แต่ความเข้าใจของฉันคือ Apple III (A) ไม่สามารถเรียกใช้โปรแกรม Apple II ทั้งหมดได้ ซึ่งเป็นความเข้ากันได้แบบย้อนกลับเล็กน้อย และ (B) ไม่สามารถขยายได้มากพอเหมือน Apple II

ไม่รู้ว่าเป็นตำนานเมืองหรือเปล่า...

…แต่ฉันได้อ่านมาว่ารุ่นแรกๆ ไม่ได้ติดตั้งชิปอย่างถูกต้องในโรงงาน และผู้รับที่รายงานปัญหาจะได้รับคำสั่งให้ยกด้านหน้าของคอมพิวเตอร์ขึ้นจากโต๊ะสองสามเซนติเมตรแล้วปล่อยให้มันชนกลับ

[เสียงหัวเราะ]

สิ่งนี้จะทำให้ชิปเข้าที่อย่างที่ควรจะเป็นในตอนแรก

ซึ่งดูเหมือนจะได้ผล แต่ไม่ใช่โฆษณาที่ดีที่สุดสำหรับคุณภาพของผลิตภัณฑ์

ดั๊ก.  เผง

เอาล่ะมาเข้าเรื่องแรกกันเลยดีกว่า

เรื่องนี้เป็นอุทาหรณ์ว่าไม่ดีอย่างไร ภัยคุกคามภายใน เป็นไปได้และบางทีอาจยากเพียงใดที่จะดึงออกเช่นกัน พอล

ใครรู้ทัน? Cybercrook โดนโทษ 6 ปี เรียกค่าไถ่นายจ้างตัวเอง

เป็ด.  แน่นอนมันเป็นดักลาส

และถ้าคุณกำลังมองหาเรื่องราวบน Nakedsecurity.sophos.com, มันเป็นสิ่งที่มีคำบรรยาย, “ใคร? Cybercrook ใช้เวลา 6 ปีในการเรียกค่าไถ่นายจ้างของเขาเอง”

และที่นั่นคุณมีความกล้าของเรื่องราว

ดั๊ก.  ไม่ควรหัวเราะ แต่… [หัวเราะ]

เป็ด.  มันเป็นเรื่องตลกและไม่ตลก

เพราะถ้าคุณดูว่าการโจมตีเกิดขึ้นได้อย่างไร โดยพื้นฐานแล้วก็คือ:

“เฮ้ มีคนบุกเข้ามา เราไม่รู้ว่าพวกเขาใช้ช่องโหว่อะไร มาลงมือปฏิบัติและลองหาคำตอบกัน”

"ไม่นะ! ผู้โจมตีจัดการเพื่อรับพลังดูแลระบบ!”

"ไม่นะ! พวกเขาได้ดูดข้อมูลลับไปหลายกิกะไบต์!”

"ไม่นะ! พวกเขายุ่งกับบันทึกของระบบ ดังนั้นเราไม่รู้ว่าเกิดอะไรขึ้น!”

"ไม่นะ! ตอนนี้พวกเขากำลังเรียกร้อง 50 bitcoins (ซึ่งขณะนั้นอยู่ที่ประมาณ 2,000,000 เหรียญสหรัฐ) เพื่อให้ทุกอย่างเงียบลง… เห็นได้ชัดว่าเราจะไม่จ่ายเงิน 2 ล้านเหรียญเป็นงานเงียบ ๆ”

และอีกอย่างคือ บิงโก คนโกงไปและทำแบบดั้งเดิม นั่นคือการรั่วไหลของข้อมูลบนดาร์กเว็บ โดยพื้นฐานแล้วเป็นการทำให้บริษัทเสียหาย

และน่าเสียดายที่คำถาม ตอบโดย: หนึ่งในผู้ดูแลระบบของบริษัทเอง

ในความเป็นจริง บุคคลหนึ่งที่ถูกเกณฑ์เข้าทีมเพื่อพยายามค้นหาและขับไล่ผู้โจมตี

ดังนั้นเขาจึงแสร้งทำเป็นต่อสู้กับผู้โจมตีรายนี้ในตอนกลางวันและเจรจาต่อรองเงินแบล็กเมล์มูลค่า 2 ล้านดอลลาร์ในตอนกลางคืน

และที่แย่ไปกว่านั้น ดั๊ก ดูเหมือนว่าเมื่อพวกเขาเริ่มสงสัยในตัวเขา...

…ที่ทำไปก็เพื่อความเป็นธรรมกับบริษัท

(ฉันจะไม่บอกว่าเป็นใคร ขอเรียกพวกเขาว่า Company-1 เหมือนที่กระทรวงยุติธรรมสหรัฐเรียก แม้ว่าตัวตนของพวกเขาจะค่อนข้างเป็นที่รู้จัก)

ทรัพย์สินของเขาถูกค้น และเห็นได้ชัดว่าพวกเขายึดแล็ปท็อปซึ่งต่อมากลายเป็นว่าถูกใช้ก่ออาชญากรรม

พวกเขาซักถามเขา ดังนั้นเขาจึงดำเนินกระบวนการ "การกระทำความผิดเป็นรูปแบบการป้องกันที่ดีที่สุด" และแสร้งทำเป็นเป็นผู้แจ้งเบาะแสและติดต่อกับสื่อภายใต้อัตตาที่เปลี่ยนแปลง

เขาเล่าเรื่องราวที่เป็นเท็จทั้งหมดว่าการละเมิดเกิดขึ้นได้อย่างไร นั่นคือการรักษาความปลอดภัยที่ไม่ดีใน Amazon Web Services หรืออะไรทำนองนั้น

ในหลาย ๆ ด้าน ดูเหมือนว่าจะเลวร้ายยิ่งกว่าที่เป็นอยู่มาก และราคาหุ้นของบริษัทก็ร่วงลงค่อนข้างแย่

มันอาจจะลดลงบ้างเมื่อมีข่าวว่าพวกเขาถูกละเมิด แต่ดูเหมือนว่าเขาจะพยายามอย่างเต็มที่เพื่อทำให้มันดูแย่ลงมากเพื่อเบี่ยงเบนความสงสัยออกจากตัวเขาเอง

ซึ่งโชคดีที่ไม่ได้ผล

เขา *ไม่* ถูกตัดสินว่ามีความผิด (แต่เขาสารภาพผิด) และอย่างที่เราพูดในพาดหัวข่าว เขาได้รับโทษจำคุกหกปี

จากนั้นรอลงอาญา 1,500,000 ปี และเขาต้องจ่ายค่าปรับ XNUMX ดอลลาร์

ดั๊ก.  คุณไม่สามารถสร้างสิ่งนี้ได้!

คำแนะนำดีๆ ในบทความนี้… มีคำแนะนำอยู่สามข้อ

ฉันรักอันแรกนี้: แบ่งและพิชิต

คุณหมายความว่าอย่างไรพอล?

เป็ด.  ดูเหมือนว่าในกรณีนี้ บุคคลนี้มีอำนาจมากเกินไปในมือของเขาเอง

ดูเหมือนว่าเขาสามารถทำให้ทุกส่วนเล็กๆ น้อยๆ ของการโจมตีนี้เกิดขึ้นได้ รวมถึงการเข้าไปยุ่งกับท่อนซุงในภายหลัง และพยายามทำให้ดูเหมือนว่าคนอื่นๆ ในบริษัททำแบบนั้น

(เพื่อแสดงให้เห็นว่าเขาเป็นคนดีชะมัด เขาพยายามประสานเพื่อนร่วมงานของเขาด้วย ดังนั้นพวกเขาจึงต้องเจอปัญหา)

แต่ถ้าคุณทำกิจกรรมบางอย่างของระบบที่สำคัญจำเป็นต้องได้รับการอนุญาตจากคนสองคน โดยเฉพาะอย่างยิ่งจากสองแผนกที่แตกต่างกัน เช่น เมื่อธนาคารกำลังอนุมัติการเคลื่อนย้ายเงินจำนวนมาก หรือเมื่อทีมพัฒนากำลังตัดสินใจ “มาดูกันว่าการดำเนินการนี้ รหัสดีพอ เราจะให้คนอื่นมาดูอย่างเป็นกลางและเป็นอิสระ”...

… นั่นทำให้ยากขึ้นสำหรับคนวงในคนเดียวที่จะดึงกลอุบายเหล่านี้ออกมา

เนื่องจากพวกเขาต้องสมรู้ร่วมคิดกับคนอื่นๆ ที่พวกเขาต้องการการอนุญาตร่วมระหว่างทาง

ดั๊ก.  ตกลง

และในบรรทัดเดียวกัน: เก็บบันทึกที่ไม่เปลี่ยนรูป

นั่นเป็นสิ่งที่ดี

เป็ด.  ใช่.

ผู้ฟังที่มีความทรงจำที่ยาวนานอาจจำไดร์ฟ WORM ได้

สิ่งเหล่านี้เป็นสิ่งที่ย้อนกลับไปในสมัยนั้น: เขียนครั้งเดียว อ่านหลาย ๆ ครั้ง

แน่นอนว่าพวกเขาได้รับการขนานนามว่าเหมาะอย่างยิ่งสำหรับบันทึกระบบ เพราะคุณสามารถเขียนถึงพวกเขาได้ แต่คุณไม่สามารถ *เขียนซ้ำ* ได้

อันที่จริง ฉันไม่คิดว่าพวกเขาได้รับการออกแบบมาโดยตั้งใจ… [หัวเราะ] ฉันแค่คิดว่ายังไม่มีใครรู้วิธีทำให้เขียนซ้ำได้

แต่ปรากฎว่าเทคโนโลยีประเภทนั้นยอดเยี่ยมสำหรับการเก็บไฟล์บันทึก

หากคุณจำ CD-R, CD-Recordables ในยุคแรกๆ ได้ คุณสามารถเพิ่มเซสชันใหม่เพื่อบันทึก เช่น เพลง 10 นาที แล้วเพิ่มเพลงอีก 10 นาทีหรือข้อมูลอีก 100MB ในภายหลัง แต่คุณทำไม่ได้ กลับไปเขียนใหม่ทั้งหมด

ดังนั้น เมื่อคุณล็อคมันแล้ว ใครก็ตามที่ต้องการยุ่งกับหลักฐาน จะต้องทำลายซีดีทั้งแผ่น เพื่อให้มันหายไปจากห่วงโซ่ของหลักฐานอย่างเห็นได้ชัด ไม่เช่นนั้นจะทำให้มันเสียหาย

พวกเขาจะไม่สามารถใช้ดิสก์ต้นฉบับนั้นและเขียนเนื้อหาใหม่ได้ ดังนั้นมันจึงแสดงออกมาแตกต่างออกไป

และแน่นอนว่ามีเทคนิคมากมายที่คุณสามารถทำได้ในระบบคลาวด์

หากคุณต้องการ นี่คืออีกด้านของเหรียญ "แบ่งและพิชิต"

สิ่งที่คุณพูดคือคุณมี sysadmins จำนวนมาก, งานระบบจำนวนมาก, daemon หรือกระบวนการบริการจำนวนมากที่สามารถสร้างข้อมูลการบันทึก แต่พวกเขาถูกส่งไปที่ไหนสักแห่งซึ่งต้องใช้ความตั้งใจจริงและความร่วมมือเพื่อสร้างสิ่งเหล่านั้น ท่อนซุงหายไปหรือมองหาอย่างอื่นที่ไม่ใช่ตอนที่สร้าง

ดั๊ก.  และสุดท้าย แต่ไม่ท้ายสุด: วัดเสมอไม่เคยถือว่า

เป็ด.  อย่างแน่นอน

ดูเหมือนว่าในกรณีนี้ Company-1 จะจัดการสิ่งเหล่านี้อย่างน้อยบางส่วนในท้ายที่สุด

เนื่องจากชายคนนี้ถูกระบุตัวและสอบสวนโดย FBI… ฉันคิดว่าภายในประมาณสองเดือนหลังจากการโจมตีของเขา

และการสืบสวนไม่ได้เกิดขึ้นเพียงชั่วข้ามคืน จำเป็นต้องมีหมายค้นและต้องการสาเหตุที่น่าจะเป็นไปได้

ดังนั้นจึงดูเหมือนว่าพวกเขาทำสิ่งที่ถูกต้อง และพวกเขาไม่ได้เชื่อใจเขาต่อไปเพียงสุ่มสี่สุ่มห้าเพียงเพราะเขาเอาแต่พูดว่าเขาไว้ใจได้

อาชญากรของเขาออกมาล้างตามเดิม

ดังนั้น สิ่งสำคัญคือคุณต้องไม่ถือว่าใครอยู่เหนือความสงสัย

ดั๊ก.  ตกลง กำลังเดินไปทางขวา

ผู้ผลิตอุปกรณ์เบ็ดเตล็ด Belkin กำลังอยู่ในกระแส โดยพูดง่ายๆ ว่า “การสิ้นสุดอายุการใช้งานหมายถึงการสิ้นสุดของการอัปเดต” สำหรับปลั๊กอัจฉริยะยอดนิยมตัวใดตัวหนึ่ง

Belkin Wemo Smart Plug V2 – บัฟเฟอร์โอเวอร์โฟลว์ที่ไม่ได้รับการแก้ไข

เป็ด.  ดูเหมือนว่าจะได้รับการตอบสนองค่อนข้างแย่จาก Belkin

แน่นอนว่าจากมุมมองของ PR มันไม่ได้ชนะใจพวกเขามากนัก เพราะอุปกรณ์ในกรณีนี้คือหนึ่งในอุปกรณ์ที่เรียกว่าปลั๊กอัจฉริยะ

คุณได้รับสวิตช์เปิดใช้งาน Wi-Fi; บางคนจะวัดพลังและสิ่งอื่น ๆ เช่นนั้นด้วย

ดังนั้น แนวคิดก็คือคุณสามารถมีแอพ หรือเว็บอินเตอร์เฟส หรือบางอย่างที่จะเปิดและปิดเต้ารับที่ผนังได้

ดังนั้นจึงเป็นเรื่องประชดประชันเล็กน้อยที่ข้อบกพร่องอยู่ในผลิตภัณฑ์ที่หากถูกแฮ็กอาจทำให้ใครบางคนเปิดและปิดสวิตช์โดยพื้นฐานแล้วซึ่งอาจมีอุปกรณ์เสียบอยู่

ฉันคิดว่าถ้าฉันเป็น Belkin ฉันอาจจะพูดว่า “ดูสิ เราไม่ได้สนับสนุนสิ่งนี้อีกต่อไป แต่ในกรณีนี้… ใช่ เราจะออกแพตช์”

และมันก็เป็นบัฟเฟอร์ล้น ดั๊ก ธรรมดาและเรียบง่าย

[หัวเราะ] โอ้ ที่รัก...

เมื่อคุณเสียบอุปกรณ์ อุปกรณ์จะต้องมีตัวระบุที่ไม่ซ้ำกันจึงจะแสดงในแอป เช่น ในโทรศัพท์ของคุณ... ถ้าคุณมีสามตัวในบ้าน คุณคงไม่อยากให้เรียกมันทั้งหมด Belkin Wemo plug.

คุณต้องการไปและเปลี่ยนสิ่งนั้นและใส่สิ่งที่ Belkin เรียกว่า "ชื่อที่เป็นมิตร"

ดังนั้นคุณจึงเข้าใช้แอปโทรศัพท์ของคุณ และพิมพ์ชื่อใหม่ที่คุณต้องการ

ดูเหมือนว่ามีบัฟเฟอร์ 68 อักขระในแอปบนอุปกรณ์สำหรับชื่อใหม่ของคุณ… แต่ไม่มีการตรวจสอบว่าคุณไม่ได้ใส่ชื่อที่ยาวกว่า 68 ไบต์

อาจเป็นเรื่องโง่เขลา คนที่สร้างระบบตัดสินใจว่ามันคงจะดีพอหากพวกเขาตรวจสอบระยะเวลาของชื่อ *ที่คุณพิมพ์ลงในโทรศัพท์เมื่อคุณใช้แอปเพื่อเปลี่ยนชื่อ*: “เราจะหลีกเลี่ยงการส่ง ชื่อที่ยาวเกินไปในตอนแรก”

และแน่นอน ในแอปโทรศัพท์ เห็นได้ชัดว่าคุณไม่สามารถใส่อักขระเกิน 30 ตัวได้ ดังนั้นอักขระเหล่านี้จึงปลอดภัยเป็นพิเศษ

ปัญหาใหญ่!

จะเกิดอะไรขึ้นหากผู้โจมตีตัดสินใจที่จะไม่ใช้แอป [หัวเราะ]

จะเกิดอะไรขึ้นถ้าพวกเขาใช้สคริปต์ Python ที่พวกเขาเขียนขึ้นเอง...

ดั๊ก.  อืมมมมม! [IRONIC] ทำไมพวกเขาถึงทำอย่างนั้น?

เป็ด.  …ซึ่งไม่รบกวนการตรวจสอบขีดจำกัด 30 อักขระหรือ 68 อักขระ

และนั่นคือสิ่งที่นักวิจัยเหล่านี้ทำ

และพวกเขาพบว่า เนื่องจากมี stack buffer overflow พวกเขาจึงสามารถควบคุมที่อยู่ส่งคืนของฟังก์ชันที่กำลังใช้อยู่ได้

ด้วยการลองผิดลองถูกที่เพียงพอ พวกเขาสามารถเบี่ยงเบนการดำเนินการไปสู่สิ่งที่เรียกกันในศัพท์แสงว่า “shellcode” ที่พวกเขาเลือกเอง

โดยเฉพาะอย่างยิ่ง พวกเขาสามารถเรียกใช้คำสั่งระบบที่เรียกใช้ wget ซึ่งดาวน์โหลดสคริปต์ ทำให้สคริปต์สามารถเรียกใช้งานได้ และเรียกใช้งาน

ดั๊ก.  โอเค อืม…

…เรามีคำแนะนำในบทความ

หากคุณมีปลั๊กอัจฉริยะเหล่านี้ ตรวจสอบว่า.

ฉันเดาว่าคำถามที่ใหญ่กว่านี้คือ สมมติว่า Belkin ทำตามสัญญาที่จะไม่แก้ไขปัญหานี้... [เสียงหัวเราะดัง]

…โดยพื้นฐานแล้ว การแก้ไขนี้ยากแค่ไหน พอล?

หรือจะเป็นการดีที่จะ PR เพียงแค่เสียบรูนี้?

เป็ด.  ฉันไม่รู้

อาจมีแอปอื่นๆ อีกมากมายที่พวกเขาต้องทำการแก้ไขแบบเดียวกัน

ดังนั้นพวกเขาอาจไม่ต้องการทำเช่นนี้เพราะกลัวว่าจะมีใครพูดว่า "มาเจาะลึกกัน"

ดั๊ก.  ทางลาดชัน…

เป็ด.  ฉันหมายความว่านั่นจะเป็นเหตุผลที่ไม่ดีที่จะไม่ทำ

ฉันคงคิดว่าตอนนี้มันเป็นที่รู้จักดี และดูเหมือนว่าจะแก้ไขได้ง่ายพอสมควร...

…เพียงแค่ (A) คอมไพล์แอปใหม่สำหรับอุปกรณ์ที่เปิดการป้องกันสแต็ก หากเป็นไปได้ และ (B) อย่างน้อยในโปรแกรมการเปลี่ยนชื่อ “ชื่อที่จำง่าย” นี้โดยเฉพาะ อย่าให้ชื่อยาวเกิน 68 อักขระ!

ดูเหมือนจะไม่ใช่การแก้ไขที่สำคัญ

แม้ว่าการแก้ไขนั้นจะต้องมีการลงรหัส จะต้องมีการตรวจสอบ; จะต้องได้รับการทดสอบ ต้องสร้างเวอร์ชันใหม่และเซ็นชื่อแบบดิจิทัล

จากนั้นจะต้องมีการเสนอให้กับทุกคน และผู้คนจำนวนมากจะไม่รู้ด้วยซ้ำว่ามีให้

แล้วถ้าไม่อัพเดทล่ะ?

คงจะดีหากผู้ที่ทราบปัญหานี้สามารถแก้ไขได้ แต่ยังคงต้องรอดูว่า Belkin จะคาดหวังให้พวกเขาอัปเกรดเป็นผลิตภัณฑ์ใหม่หรือไม่

ดั๊ก.  เอาล่ะ ในเรื่องของการอัปเดต...

…เราเฝ้าดูเรื่องนี้อย่างที่เราพูด

เราได้พูดคุยเกี่ยวกับเรื่องนี้หลายครั้ง: Clearview AI

สุดอลเวง! ราคเลจ แครปูลูซ์! Clearview AI มีปัญหาเพิ่มขึ้น 20% ในฝรั่งเศส

ฝรั่งเศสมีบริษัทนี้อยู่ในสายตาสำหรับการต่อต้านซ้ำแล้วซ้ำเล่า และเกือบจะเป็นเรื่องน่าขันที่สิ่งนี้เลวร้ายลง

ดังนั้น บริษัทนี้จึงคัดลอกรูปภาพจากอินเทอร์เน็ตและแมปกับบุคคลที่เกี่ยวข้อง และหน่วยงานบังคับใช้กฎหมายก็ใช้เครื่องมือค้นหานี้ในการค้นหาผู้คน

ประเทศอื่นๆ ก็ประสบปัญหานี้เช่นกัน แต่ฝรั่งเศสกล่าวว่า “นี่คือ PII นี่เป็นข้อมูลที่สามารถระบุตัวบุคคลได้”

เป็ด.  ใช่.

ดั๊ก.  “เคลียร์วิว ได้โปรดหยุดทำแบบนี้”

และ Clearview ไม่แม้แต่จะตอบสนอง

ดังนั้นพวกเขาจึงโดนปรับ 20 ล้านยูโร และพวกเขาก็ทำต่อไป...

และฝรั่งเศสกำลังพูดว่า “ตกลง คุณทำอย่างนั้นไม่ได้ เราบอกให้คุณหยุด ดังนั้นเราจะลงแรงกับคุณมากขึ้น เราจะเรียกเก็บเงินจากคุณ 100,000 ยูโรทุกวัน”… และพวกเขาลงข้อมูลย้อนหลังจนถึงจุดที่สูงถึง 5,200,000 ยูโรแล้ว

และ Clearview ก็ไม่ตอบสนอง

มันแค่ไม่ยอมรับว่ามีปัญหา

เป็ด.  ดูเหมือนจะเป็นเช่นนั้นอย่างแน่นอน ดั๊ก

ที่น่าสนใจและในความเห็นของฉันค่อนข้างสมเหตุสมผลและที่สำคัญมาก เมื่อหน่วยงานกำกับดูแลของฝรั่งเศสตรวจสอบ Clearview AI (ในเวลานั้นพวกเขาตัดสินใจว่าบริษัทจะไม่เล่นบอลโดยสมัครใจและปรับพวกเขา 20 ล้านยูโร)...

…พวกเขายังพบว่าบริษัทไม่ใช่แค่การรวบรวมสิ่งที่พวกเขาพิจารณาว่าเป็นข้อมูลไบโอเมตริกซ์โดยไม่ได้รับความยินยอม

พวกเขายังทำให้ผู้คนใช้สิทธิ์ของตนได้อย่างเหลือเชื่อ ไม่จำเป็น และผิดกฎหมาย (ก) ที่จะรู้ว่าข้อมูลของพวกเขาถูกรวบรวมและกำลังถูกใช้ในเชิงพาณิชย์ และ (ข) ให้ลบทิ้งหากพวกเขาต้องการ

สิ่งเหล่านี้เป็นสิทธิที่หลายประเทศบัญญัติไว้ในข้อบังคับของตน

ฉันคิดว่ายังคงอยู่ในกฎหมายของสหราชอาณาจักรอย่างแน่นอน แม้ว่าตอนนี้เราจะอยู่นอกสหภาพยุโรปก็ตาม และเป็นส่วนหนึ่งของกฎระเบียบ GDPR ที่รู้จักกันดีในสหภาพยุโรป

ถ้าฉันไม่ต้องการให้คุณเก็บข้อมูลของฉัน คุณต้องลบทิ้ง

และเห็นได้ชัดว่า Clearview กำลังทำสิ่งต่างๆ เช่น พูดว่า "โอ้ อืม ถ้าเราเก็บไว้นานกว่าหนึ่งปี มันก็ยากเกินไปที่จะลบออก ดังนั้นมันจึงเป็นเพียงข้อมูลที่เรารวบรวมภายในปีที่แล้วเท่านั้น"

ดั๊ก.  อ๊าาาา [หัวเราะ]

เป็ด.  ถ้าคุณไม่สังเกต หรือคุณเพิ่งรู้หลังจากผ่านไปสองปี?

สายเกินไป!

แล้วพวกเขาก็พูดว่า “โอ้ ไม่นะ คุณได้รับอนุญาตให้ถามได้ปีละสองครั้งเท่านั้น”

ฉันคิดว่า เมื่อฝรั่งเศสตรวจสอบ พวกเขายังพบว่าคนในฝรั่งเศสบ่นว่าพวกเขาต้องถามซ้ำแล้วซ้ำอีก ก่อนที่พวกเขาจะสามารถเขย่าความทรงจำของ Clearview ให้ทำอะไรได้เลย

ใครจะรู้ว่าเรื่องนี้จะจบลงอย่างไร ดั๊ก?

ดั๊ก.  นี่เป็นช่วงเวลาที่ดีที่จะได้ยินจากผู้อ่านหลายๆ คน

เรามักจะแสดงความคิดเห็นประจำสัปดาห์จากผู้อ่านคนหนึ่ง แต่คุณถามในตอนท้ายของบทความนี้:

หากคุณเคยเป็น {Queen, King, President, Supreme Wizard, Glorious Leader, Chief Judge, Lead Arbiter, High Commissioner of Privacy} และสามารถแก้ไขปัญหานี้ได้ด้วย {โบกไม้กายสิทธิ์ สะบัดปากกา เขย่าคทา , กลลวงใจของเจได}…

…คุณจะแก้ปัญหาความขัดแย้งนี้อย่างไร?

และเพื่อดึงคำพูดบางส่วนจากผู้แสดงความคิดเห็นของเรา:

  • “ปิดหัวของพวกเขา”
  • “โทษประหารชีวิตในองค์กร”
  • “จัดให้พวกเขาเป็นองค์กรอาชญากรรม”
  • “ระดับสูงควรติดคุกจนกว่าบริษัทจะยอมทำตาม”
  • “ประกาศให้ลูกค้าเป็นผู้สมรู้ร่วมคิด”
  • “เจาะฐานข้อมูลและลบทุกอย่าง”
  • “สร้างกฎหมายใหม่”

จากนั้นเจมส์ก็ลงจากหลังม้าพร้อมกับ: “ฉันผายลมไปในทิศทางทั่วไปของคุณ แม่ของคุณเป็น 'amster และพ่อของคุณมีกลิ่นเอลเดอร์เบอร์รี่” [MONTY PYTHON และจอกศักดิ์สิทธิ์ พาดพิงถึง]

ซึ่งฉันคิดว่าอาจจะเป็นความคิดเห็นในบทความที่ไม่ถูกต้อง

ฉันคิดว่ามีคำพูดของ Monty Python ใน "Whodunnit?" บทความ.

แต่ เจมส์ ขอบคุณที่กระโดดลงมาในตอนท้าย...

เป็ด.  [LAUGHS] ไม่ควรหัวเราะจริงๆ

คนแสดงความคิดเห็นของเราไม่ได้พูดว่า “นี่ สมัครขอหมายแดงของอินเตอร์โพลเหรอ? [ประเภทของหมายจับระหว่างประเทศ]

ดั๊ก.  ใช่!

เยี่ยมมาก… อย่างที่เราเคยชินกัน เราจะจับตาดูเรื่องนี้ เพราะฉันรับรองได้ว่าเรื่องนี้ยังไม่จบ

หากคุณมีเรื่องราว ข้อคิดเห็น หรือคำถามที่น่าสนใจที่คุณต้องการส่ง เรายินดีที่จะอ่านในพอดแคสต์

คุณสามารถส่งอีเมลไปที่ tips@sophos.com แสดงความคิดเห็นเกี่ยวกับบทความของเรา หรือจะติดต่อผ่านโซเชียลได้ที่ @NakedSecurity

นั่นคือการแสดงของเราในวันนี้ ขอบคุณมากสำหรับการฟัง

สำหรับ Paul Ducklin ฉัน Doug Aamoth เตือนคุณถึงครั้งต่อไปที่จะ...

ทั้งสอง  รักษาความปลอดภัย!

[โมเด็มดนตรี]

ประทับเวลา:

เพิ่มเติมจาก ความปลอดภัยเปล่า