Meghackelték a Tindert, avagy a központosított rendszerek rákfenéjéről

Közel 70 ezer fényképet loptak el a világ egyik legnépszerűbb randi appjáról, a Tinderről. Ma már elkerülhetőek lennének a hasonló incidensek.

Múlt héten kibertámadás sújtotta az egyik legismertebb társkereső alkalmazást, a Tindert. A catfish nevű hackertámadás következtében nagyjából 70 ezer fénykép került illetéktelenek kezébe. A catfish jelenség a közösségi média oldalakra és a társkereső applikációkra csap le. A hackerek hamis identitással regisztrálnak a különböző platformokon és csalnak ki pénzt vagy képeket másoktól. A mostani támadás volt a Tinder történetének legjelentősebb biztonsági eseménye, mely 16 ezer felhasználót érintett.

Mivel a Tinder hírnevén csorba esett, számos kritikus arra hívta fel a figyelmet, hogy az ilyen jellegű kibertámadások kivédhetőek lennének a decentralizáció eszközével.

Nemcsak a Tinder felhasználóinak adataira leselkedik veszély. 2018-ban a Google közel 50 millió felhasználójának adatai szivárogtak ki. Nem is beszélve a Facebookról, melyet tavaly többször is kritizáltak nem elégséges biztonsági megoldásai miatt. A közösségi média oldalról több mint 400 millió felhasználó telefonszámát lopták el. A közösségi portálok legnagyobb hibája ugyanis az, hogy a fájlokat egy központosított szerveren tárolják, így a hackerek könnyen hozzáférhetnek a személyes adatokhoz.

Tinder hack példája: minél központosítottabb, annál problémásabb

“A központosítás a sebezhetőség csúcsa. Ha az összes adatot egy helyen tárolják, akkor általában csak egyetlen kulcs szükséges ahhoz, hogy a kiszolgálón lévő fájlokhoz hozzáférjenek”, fejtette ki véleményét Jeff Kirdeikis, az Uptrennd decentralizált közösségi média vezérigazgatója.

“Ezt a sebezhetőséget használták ki az Equifax, a Facebook, a Myspace és még a legfontosabb kormányzati ügynökségek adatlopásánál is. Ha valami centralizált, akkor az sebezhető. Ha pedig sérülékeny, akkor az előbb vagy utóbb meg is sérül.”

Régebben ezzel nem foglalkozott senki. Az internet korai szakaszában az olyan új alkalmazásokat, mint például az e-mailt, egy elosztott modellen belül tervezték, egyetlen meghibásodási pont nélkül. Most számos vállalat úgy, mint a Facebook, a Google és a Twitter is elsősorban központosított szerkezeten alapul. Ez viszont lehetővé teszi a hackerek számára, hogy nagyobb megerőltetés nélkül hozzáférjenek egy adott oldal szerveréhez. Az illetéktelen behatoló akár olyan nagy mennyiségű adatforgalommal (ddos-támadás) is eláraszthatja a célpontját, hogy a weboldal teljesen összeomlik. A központilag tárolt szerverek eredendően törékenyek.

Megoldás a problémára

Kirdeikis véleménye szerint erre a problémára is létezik megoldás, ami nem más, mint az adatok elosztása és decentralizálása. “A decentralizáció ugyanis lehetővé teszi azt, hogy részleges mennyiségű adatot tároljunk több helyen. Képzeljük el, hogy van egy fotó, amit száz darabra osztanak fel és a világ száz szerverén tárolják egy-egy darabját. Ha az egyik szervert a hackerek feltörik igazából semmi nem történik, hiszen a fényképnek csak egy apró részletéhez férnek hozzá, nem az egészhez.”

Kirdeikis példaként megemlítette, hogy “ez ahhoz hasonlít, mintha valaki egyetlen darabot talál egy felaprított hitelkártyából. A többi darab nélkül nem menne vele semmire.” Sam Pajot-Phipps, az Open Application Network stratégiavezetője pedig azt magyarázta el, hogy a decentralizált rendszerek miért is olyan biztonságosak:

“A termék és az adatok típusától függően a decentralizált adattárolási protokoll kihasználása növeli a fogyasztói alkalmazások biztonságát. Az adatokat kezelő független szereplők ellenőrizhető garanciákkal rendelkeznek az adatok tárolásához, eléréséhez és kezeléséhez.”

Az érem másik oldala

A decentralizációnak azonban hiányosságai is vannak. Ezek a rendszerek gyakran szoftverek telepítését kérik a végfelhasználótól. Az adatok több helyen történő tárolása pedig növeli a költségeket és komplikált helyzeteket is. Pajot-Phipps úgy gondolja, hogy ha a jövőben a mindennapi fogyasztói alkalmazásokat és felületeket decentralizált adatprotokollok támogatnak, változásokra lesz szükség mind az oktatás, mind pedig a technológiai megoldások terén.