到目前为止,很糟糕
Irina Raicu是圣克拉拉大学马库拉应用伦理学中心互联网伦理项目的主任。雷竞技最新app观点是她自己的。
这是网络安全新闻的艰难几周。首先,Facebook披露了一个大规模的漏洞:攻击者利用了该公司软件中的三个漏洞,这使得他们能够完全访问至少5000万用户的账户。五千万年。更糟糕的是,因为很多人利用了Facebook的单点登录功能,该功能邀请他们使用自己的Facebook身份登录网络上的各种其他服务,黑客现在也可以访问这些人的其他账户。此外,正如《连线》杂志杂志的Issie Lapowsky在一篇题为“脸书遭黑客攻击暴露了整个互联网的失败,“许多其他网站松懈的安全措施放大了危害。拉波夫斯基报道了伊利诺伊大学芝加哥分校研究人员发表的一篇论文:
也许这篇论文中最令人震惊的发现是,人们不一定要登录Facebook的第三方网站才能被曝光。例如,你用与你的Facebook账户相关联的电子邮件地址登录了一个网站。研究人员发现,如果攻击者试图使用Facebook的单点登录登录同一网站,一些网站会将这两个账户关联起来。
“如果你有一个Facebook账户,即使你从未用它登录过任何其他网站……攻击者仍然可以使用Facebook代币,并在第三方网站上访问用户的账户”(其中一名研究人员指出)。
请稍停片刻,理解一下其中的含义。假设你是一个相当谨慎的互联网用户,对网络安全问题有所了解,你可能根本就选择不使用单点登录。考虑到一些服务设置站点的方式,您的谨慎是无关紧要的。他们会认为你想要方便,而忽略你的谨慎。
然后,昨天,消息传开了一个漏洞允许开发者在未经用户同意的情况下访问一些谷歌+用户的数据。在一篇博文中谷歌解释了他们在内部审计中发现的内容:“用户可以授权访问他们的个人资料数据,以及公司的公开个人资料信息他们的朋友,到谷歌+应用程序,通过API。该漏洞意味着应用程序也可以访问与用户共享的配置文件字段,但没有标记为公共。”换句话说,用户的朋友的非公开数据可以被移交给开发人员,即使这些朋友(即其他谷歌+用户)没有同意。
这篇博文是出版后的华尔街日报有报道关于虫子。《华尔街日报》谷歌还报道称,早在3月份修补完这个漏洞后,谷歌就考虑过公开这个漏洞,但内部讨论警告了监管后果。
到目前为止,谷歌声称该漏洞在被发现和修补之前没有被利用过。网络安全专家指出这意味着我们谈论的是漏洞披露,这带来了它自己的规范和道德困境(几年前,作为道德黑客小组讨论的一部分,我们有一个有趣的讨论漏洞披露的伦理).所以这一丑闻与剑桥分析公司的丑闻相似,因为它涉及在未经同意的情况下移交用户朋友数据的能力;但这是不同的,因为在这种情况下,没有剑桥分析公司(至少就我们目前所知)利用这个选项。
不过,人们选择什么是隐私,而不是公开,再一次被他们使用的服务所覆盖。在谷歌的案例中,覆盖显然是偶然的,而不是公司的政策。最近Facebook的大规模数据泄露也是失败的结果,而不是Facebook的意图。然而,尤其令人沮丧的是,这些公司非常关心网络安全,他们非常愿意保护用户的数据免受未经授权的访问,并为此投入了大量资源。所以用户听到的信息是“继续——更改您的隐私设置”。告诉你自己,并做出其他选择,以努力保护你的信息。不过,这可能重要,也可能不重要。如果我们失败了,我们可能不会告诉你。为什么要让你更加意识到风险呢?”
去年,我在板岩的将来时态;它的标题是这是网络安全宣传月。你觉得网络安全了吗?在雅虎(Yahoo)、美国证券交易委员会(SEC)、Equifax公司(Equifax)和美国国家安全局(NSA)遭到大规模入侵的报道后,我写道:“这一系列失败的一个有希望的结果是,议员们不仅意识到了这一点,而且变得愤怒起来,似乎准备提出一些立法措施作为回应。”我现在更清楚naïve是怎么回事了。至少联邦立法者很生气,但不是针对网络安全。另一方面,加州已经通过了一项物联网网络安全法,但范围有限。我本想说,有限的保护还是比没有强,直到我读了这本书布鲁斯·施奈尔的评价“如果我的房子有50扇窗户没有上锁,你就把第二间卧室的那扇锁上了。”他的开场白是:“为你做的事情欢呼,但这只是一个非常大的问题的一小部分。”
鉴于我们的社会对互联网的依赖,网络安全既是一个非常大的问题,也是一个共同利益的问题。作为我们的中心材料解释了这一点,
特定的共同利益或共同利益的一部分的例子包括一个可获得的和负担得起的公共卫生保健系统,有效的公共安全和保障系统,世界各国之间的和平,公正的法律和政治体系,未受污染的自然环境,以及繁荣的经济体系。
在这个清单上,我们应该加上“一个更安全的互联网”。
十月是网络安全宣传月。至少,记者们在尽自己的一份力量,让我们更清楚地认识到这一点。为你的成功而欢呼!
图片来源:amika_san,基于创作共用协议,未经修改许可证。