Yhdistyneen kuningaskunnan Online “Safety” Act -laki, jota markkinoidaan lasten turvaverkkona, otettiin käyttöön avaruusohjelmaa käynnistävän pikkulapsen kaukonäköisyydellä. Nyt kaikki sivustot, joilla on “mahdollisesti haitallista” sisältöä, voidaan velvoittaa keräämään käyttäjiltä todelliset henkilöllisyystodistukset, kasvoskannaukset tai viralliset asiakirjat.
Mikä voisi mennä pieleen? Ask Tea, naisille suunnattu deittijuorusovellus, joka lähti leviämään lupaamalla voimaantumista, joutui sitten yhteen vuoden vaarallisimmista tietomurroista. Heidän Firebase-palvelimensa, jossa oli kymmeniä tuhansia selfieitä ja valtion myöntämiä henkilöllisyystodistuksia, oli jätetty avoimeksi kaikille, joilla oli linkki.
Tämä on todellinen seuraus siitä, että lainsäätäjät myyvät digitaalista henkilöllisyystodistusta koskevia velvoitteita ratkaisuna verkossa esiintyviin haittoihin: yksityiset yritykset pääsevät käsiksi arkaluonteisiin henkilötietoihin paraatikärryn hienovaraisuudella ja pudottavat ne sitten koko internetin syliin.
Pysähdytään hetkeksi ja arvostetaan sitä kosmista nerokkuutta, joka tarvitaan, jotta voidaan rakentaa sovellus, jonka väitetään olevan suunniteltu suojelemaan naisia, ja sitten paljastaa kaikki heidän yksityiset tietonsa maailmalle URL-osoitteen kopioivan ensikertalaisen hakkerin hienovaraisuudella.
Tea, deittisovellus, joka nousi App Storen kärkeen myymällä anonymiteettiä, turvallisuutta ja voimaantumista, ennen kuin se syöksyi Firebase-palvelimen lattialle ja ruiskutti ajokortteja ja selfieitä kuin rikki mennyt konfettitykki.
Jos missasit sen, tässä on hissitarina tietoturvahelvetin seitsemännestä ympyrästä: Tea antaa naisten ladata kuvia, nimiä ja taustatietoja miehistä, joita he seurustelevat (tai joita he välttelevät), ja merkitä heidät “vihreiksi lipuiksi” tai “punaisiksi lipuiksi”, aivan kuin he tuomitsisivat tanssiaisparaatia.
Tämä oli jo yksityisyyden purku-urakka, joka odotti tapahtumista. Tea ei kuitenkaan tyytynyt summittaisiin joukkorahoitussyytöksiin ja nimettömiin ilmoituksiin, vaan sillä oli suurempi tavoite: varmistaa, että vain todennetut naiset voivat osallistua. Ja miten todennetaan naiseus 2000-luvulla? Luonnollisesti vaatimalla selfietä ja valtion myöntämää henkilöllisyystodistusta. Mikään ei sano “turvallista tilaa” paremmin kuin kasvojen ja passin antaminen juorusovellukselle, jota pyörittävät ihmiset, jotka tallentavat ne julkisesti saatavilla olevaan Firebase-ämpäriin. Ei kirjautumista. Ei salasanaa. Ei häpeää.
Tietovuoto puhkesi. 4chanin käyttäjät törmäsivät avoimeen tietokantaan, eivätkä tuhlanneet aikaa imuroimalla kymmeniä tuhansia selfieitä, ajokortteja ja jopa yksityisviestejä; ei salausta, ei metatietojen pesua. Jotkin lataukset sisälsivät edelleen paikkatietoja, mikä tarkoitti, että jokainen, joka napsautti “lähetä”, oli käytännössä luovuttanut reaaliaikaisen leivänmurupolun kotiovelleen.
Seuraukset olivat välittömät. Ainakin yhden henkilöllisyystodistuksen väitettiin kuuluvan puolustusministeriön työntekijälle, kuten sosiaalisessa mediassa julkaistut viestit kertovat, jotka nyt leviävät digitaalisten tirkistelijöiden vahingoniloisen iloisesti.
Tea antoi 25. heinäkuuta klo 6:44 aamulla lausunnon, jossa se väitti, että tietoturvaloukkaus koski “vanhaa järjestelmää”, jonka tiedot olivat peräisin “yli kaksi vuotta sitten”.
Tietenkin, Tea koko pitch naisille oli, että se loi turvallisemman dating ekosysteemi karsimalla huijarit ja hiipijöitä kautta ID-pohjainen gatekeeping. Mutta kuten kävi ilmi, todellinen vaara ei ollutkaan mies, jolla oli “punainen lippu”. Se oli itse yritys, joka rakensi arkaluonteisten henkilötietojen korkean arvon mesipesän ja unohti sitten laittaa sen päälle kannen.
Digitaaliset tunnukset: Online-turvallisuuden käärmeöljy
Tean katastrofi ei ole niinkään itsenäinen häpeätapahtuma kuin pikemminkin vilkkuva punainen mainostaulu, jolla mainostetaan digitaalisen henkilöllisyystodistuksen todentamisen idiotismia yksityisyyden suojaamisena. Ajatus kuulostaa hyvältä komiteahuoneissa ja teknologiakonferenssien lavoilla: vaadi ihmisiä lataamaan oikea henkilöllisyystodistus henkilöllisyytensä vahvistamiseksi verkossa, ja taikaiskusta trollit katoavat, botit hajoavat, ja sovelluksestasi tulee sivistyneen keskustelun ja kohteliaan seurustelun utopia.
Paitsi ei. Itse asiassa saat valvontajärjestelmän, joka keskittää korvaamattoman arvokkaat henkilötiedot järjestelmiin, jotka ovat niin hauraita, että ne murtuvat URL-pyynnön painon alla. Tea ei kärsinyt tietomurrosta mestarillisen hakkerin takia; se jäi kiinni, koska se jätti ulko-oven auki ja teippasi avaimen tervetuliaismatolle.
Virheitä tapahtuu aina, ja hakkeroinnit ovat yleisiä, minkä vuoksi alustojen olisi kerättävä mahdollisimman vähän tietoja, ja digitaalista tunnistamista koskevat vaatimukset ovat vaarallinen ajatus.
Eikä tämä käytäntö ole katoamassa. Se on kirjattu lakiin. Ison-Britannian kiiltävä uusi Online Safety Act on juuri sellaista performatiivista lainsäädäntöä, joka antaa sääntelyviranomaisille lämpimän tunteen ilman logiikan taakkaa.
Jalona pyrkimyksenä suojella lapsia ja käyttäjiä verkossa esiintyviltä haitoilta mainostettu laki määrää laajamittaisen ikävarmennuksen, joka käytännössä pakottaa kaikki – lapset, aikuiset ja epäonniset puolustusministeriön työntekijät – luovuttamaan henkilöllisyystodistuksensa osallistuakseen internetin arkipäiväisimpiin toimintoihin.
Tean tietovuoto on esikatselu. Verkkoturvallisuuslaki voisi helposti tehdä jokaisesta pienestä sovelluksesta ja kapeasta sivustosta halvan valvontasolmun, joka varastoi henkilöllisyystietoja ja kasvotietoja suunnilleen yhtä hienostuneesti kuin mitä Tea osoitti.
Jopa massiivisilla alustoilla, joilla on armeijoita tietoturva-insinöörejä, on vaikeuksia pitää tällaiset tiedot lukittuina. Odottaa, että rahapulassa olevat startup-yritykset ja uutuussovellukset kehittäisivät yhtäkkiä ilmatiiviin, sotilastason datainfrastruktuurin, on kuin antaisi pikkulapselle liekinheittimen ja toivoisi maisemointia.
Digitaalisen tunnistamisen puolustajat käyttävät mielellään sanoja kuten “luottamus”, “suoja” ja “aitous”. He eivät kuitenkaan mainitse, mitä tapahtuu, kun asiat menevät pieleen. Henkilötodistukset ovat elinikäisiä tunnuksia, jotka oikean maailman identiteettisi avaavat. Et voi peruuttaa kasvojasi. Et voi korvata sosiaaliturvatunnustasi joka kerta, kun jokin startup-yritys unohtaa asettaa käyttöoikeudet.
Mutta unohda logiikka. Nämä todentamisjärjestelmät leviävät nopeammin kuin keskellä pandemiaa leviävä meemi. Kasvontunnistus, asiakirjojen skannaukset ja biometriset tunnisteet, koska ilmeisesti ainoa tapa estää haitat on tehdä jokaisesta käyttäjästä hallituksen tiedosto. Samaan aikaan verhon takana olevat järjestelmät ovat vuotavia, läpinäkymättömiä ja täysin välinpitämättömiä sen suhteen, mitä tapahtuu, kun tietosi ovat luonnossa.
Politiikalla on myös sosiaalisia kustannuksia. Ilmiantajille, aktivisteille, hyväksikäytöstä selviytyneille ja kaikille muille, jotka ovat riippuvaisia anonymiteetistä, henkilöllisyystodistuksen esittäminen tietojen saamiseksi tai itsensä ilmaisemiseksi verkossa on digitaalinen vastine sille, että heidän talonsa merkitään GPS-merkinnällä.
Tämä on verkkoturvallisuuslain kaltaisen lainsäädännön luihin sisäänrakennettu pelottava vaikutus. Lainsäätäjät vaihtavat perustuslailliset periaatteet lehdistötiedotteen näköisyyteen, ja käyttäjät ovat juuttuneet todellisuuteen, jossa yksityisyys maalataan uhkaksi turvallisuudelle sen sijaan, että se olisi sen perusta.
Lopetetaan kuvitelma siitä, että tämä on välttämätön kompromissi, että jos haluat pitää lapset turvassa verkossa, sinun on asennettava digitaalinen tarkistuspiste jokaiseen kirjautumisnäyttöön. Että väärinkäytöksiä ei voi torjua rakentamatta panoptikkoa.
Totuus on, että useimmat näistä tunnisteiden keräysjärjestelmistä tarjoavat turvallisuusteatteria, eivät todellista turvallisuutta. Ne vievät luottamuksen käyttäjiltä ja siirtävät sen mustaan laatikkoon, jossa ei ole vastuuvelvollisuutta. Kun järjestelmä pettää, kuten Tean järjestelmä on tehnyt, käyttäjät joutuvat maksumiehiksi. Heidän tiedoillaan ja turvallisuudellaan.
Tea keräsi 72 000 kuvaa, selfietä ja tunnusta ja heitti ne avoimeen Firebase-ämpäriin kuin se olisi tallentanut kuvakaappauksia ryhmäkeskustelusta. Jos alusta, joka sanoo suojelevansa naisia, tekee näin arkaluonteisilla tiedoilla, mitä meidän pitäisi odottaa alustoilta, jotka eivät edes teeskentele välittävänsä?
Huolimatta lehdistössä ja sosiaalisessa mediassa tapahtuneesta närkästyneestä uutisoinnista Tea ei ole saanut kieltoa. Sovelluksen sivut App Storessa ja Google Playssa ovat edelleen toiminnassa. Sen luokitus ei ole romahtanut. Yksikään johtaja ei ole eronnut. Sääntelyviranomaiset eivät ole puuttuneet asiaan.
Viesti muille alustoille on selvä: voit mokata tämän mahdollisimman ilmeisellä, nöyryyttävällä ja vaarallisella tavalla, eikä mitään oikeastaan tapahdu.
Samaan aikaan hallitukset kiihdyttävät pakollisten digitaalisten henkilöllisyystarkastusten käyttöönottoa. Tulevaisuus perustuu harhakuvitelmiin. Infrastruktuuria ei ole olemassa. Luottamusta ei ole ansaittu. Ja kustannukset ovat pysyviä, kuten Tean tietoturvaloukkaus tekee masentavan selväksi.
Älä siis lataa passiasi liittyäksesi keskusteluhuoneeseen. Älä lähetä kasvoskannausta päästäksesi sivustolle. Älä luota biometrisiä tietojasi siihen viime vuonna perustettuun trendikkääseen sovellukseen.
Kun kasvosi, nimesi ja henkilöllisyystietosi ovat kerran julkisuudessa, he eivät tule takaisin. Ja kun seuraava Tea-tyylinen vuoto tapahtuu, ja se tapahtuu, se ei ole poikkeus. Se on yksinkertaisesti vaarallista politiikkaa.