Ostaju li podaci korisnika na internetu zauvijek?

4. February 2024.
Različite grupe stalno ‘preuzimaju’ podatke sa interneta; čak iako se cijela mreža i njena aplikacija ugase i prestanu sa radom, podaci ostaju u nekom ‘mračnom kutku’ interneta.
christopher-gower-m_HRfLhgABo-unsplash
Ilustracija. Foto. Unsplash/Christopher Gower

Autor: Ivan Trajković

Poslednjih godina većina korisnika različitih društvenih mreža, aplikacija i internet usluga se navikla na mogućnost da njihovi podaci u nekom trenutku mogu da budu zloupotrebljeni. I same tehnološke korporacije i giganti iz Silicijumske doline kontinuirano napominju da su „poboljšali svoju bezbednost“.

Privatnost korisnika u online svetu je danas tako više „skup lepih želja“ nego realnost.  Nijedna kompanija niti mreža ne mogu garantovati privatnost – čak ni Google, Facebook ili Microsoft – a to najbolje pokazuje slučaj Cambridge Analytica, kao i najnovijeg, nazvanog „majka svih hakovanja“.

Još 2016. godine među tehnološkim stručnjacima javila se bojazan da su najveće društvene mreže pogođene tzv. struganjem podataka (data scraping). To obuhvata aktivnosti specijalnih softvera, koji rade na velikim „farmama podataka“ (eng. server farming) i koji za cilj imaju prikupljanje svih dostupnih podataka na „javnom“ internetu. U praksi se na taj način mogu prikupiti fotografije, imena, lokacije i interesovanja stotina miliona ljudi širom sveta. Napredni softveri za „usporedbu podataka unazad“ (Backwards data Comparing, BdC) takođe mogu da prate i svaku izmenu na društvenim mrežama, te da za svakog korisnika čije su podatke „sastrugali“ sa interneta naprave i „vremensku liniju“ promena. Takođe, društvene mreže su samo jedno od „interesovanja“ ovakvih sistema – oni mogu preuzeti i podatke sa drugih web stranica, te čak napraviti i profil svih online aktivnosti.

 

Šta nas je naučila Cambridge Analytica?

Slučaj kompanije Cambridge Analytica je možda i najbolji primer ovakve prakse. Pokrenuta 2013, kao podružnica nekadašnje SCL Group, kompanije za „strateške analize podataka, ona je imala kancelarije u Londonu, New Yorku i Washingtonu. Iako se prvih godina smatralo da se „bavi analizom podataka sa interneta o kompanijama, izbornim procesima i istaknutim pojedincima“, brzo se ispostavilo da je zapravo njen pravi zadatak tzv. masovno prikupljanje informacija iz javnih izvora (Open Source Intelligence, OSINT).

U martu 2018, nepunih pet godina od osnivanja, američki i britanski mediji su objavili da je Cambridge Analytica zapravo „pokupila“ podatke najmanje 87 miliona korisnika Facebooka. Mnogi od ovih naloga korisnika su bili ugašeni još 2011, ali su se osnovni podaci (eng. basic dataset) ipak našli u bazi.

Kasnija istraga je otkrila i da su sistemi kompanije imali daleko veći „protok podataka“, te da je broj „preuzetih“ Facebook naloga verovatno mnogo veći – preko 150 miliona korisnika širom sveta. Cambridge Analytica je nedugo nakon otkrivanja afere ugašena, a 2018. su obe kompanije u potpunosti prestale sa radom.

Iako se nakon ovog skandala tehnološka zajednica „obavezala“ da će u narednom periodu „maksimalno zaštititi privatnost korisnika“ to je, u suštini, bio samo „dobar krizni PR“.

 

‘Najveći propust ikada’

Stručnjaci za digitalnu bezbednost su početkom ove godine objavili „najveći propust ikada“ kada se radi o podacima korisnika nazvan „majka svih hakovanja“ (Mother of All Breaches, MOAB). Čak 26 milijardi jedinstvenih podataka sa društvene mreže Twitter, poslovne mreže LinkedIn, te profesionalnih mreža kao što je Adobe, našlo se u preko 3.800 posebnih foldera. Iako dosad nijedna velika hakerska grupa u svetu nije preuzela odgovornost za ovako veliko curenje podataka, jasno je da su za ovakav data scraping“ potrebni ogromni računarski, finansijski i ljudski resursi, što opet „upire prst“ u velike hakerske „sindikate“ (eng. hacker syndicate) koji imaju podršku svojih država. Ovakve grupe su najčešće u Rusiji, ali postoje i u Kini, Iranu i Severnoj Koreji. Zbog neprestane opasnosti od hakerskih napada ovih grupa, američka obaveštajna zajednica ih naziva „aktivna stalna pretnja“ (Active Persistent Threat, APT).

Analiza jednog dela od 26 milijardi podataka je već pokazala i da se među „pokupljenima“ nalaze javni i državni zvaničnici iz SAD-a, Nemačke, Brazila, Filipina i Turske.

Stručnjaci bezbednosne kompanije McAfee savetuju da se korisnici „trebaju ponašati kao da njihovi podaci već jesu procureli“, te da promene lozinke na svojim društvenim mrežama i uključe proveru metodom dvostruke kontrole naloga (Two Factor Authentication, 2FA). On obično obuhvata potvrdu identiteta pomoću SMS-a ili drugog dodatnog email naloga u odnosu na onaj sa kog je nalog otvoren. Takođe, nova lozinka bi trebalo da bude jaka, sastavljena od najmanje 12 slova i brojeva, te da nije prethodno korišćena za druge naloge ili web stranice.

 

Za detaljnu analizu treba najmanje godina

MOAB curenje podataka se već nalazi i na „mračnom internetu“ (dark web), ali ga njegova veličina od čak 12 terabajta podataka čini veoma komplikovanim za preuzimanje i analizu strukture (de-authoring).

Zanimljivo je i da se među do sada analiziranim podacima nalaze i milioni naloga sa nekada izuzetno popularne društvene mreže My Space, nastali između 2008. i 2010. godine. To u praksi dokazuje da različite grupe stalno „preuzimaju“ podatke sa interneta, te da, čak iako se cela mreža i njena aplikacija ugase i prestanu sa radom, podaci ostaju u nekom „mračnom kutku“ interneta.

Uz My Space, podaci obuhvataju i naloge koji su nekada korišćeni na kineskoj aplikaciji za dopisivanje QQ, te online servisu Weibo. „Kineski deo“ baze čini više od 1,4 milijarde unosa za više od 140 miliona pojedinačnih naloga. U poređenju, podaci sa mreže My Space imaju „samo“ 360 miliona unosa.

Stručnjaci procenjuju da će za detaljnu analizu ove baze od 12 terabajta biti potrebno najmanje godinu dana aktivnog rada. Ovo (do sada) najveće curenje podataka je takođe nazvano i COMB (eng. češalj, akronim za „kompilaciju podataka iz različitih izvora“).

 

I obavještajne agencije žele podatke korisnika

Nedavno je američki senator Ron Wyden, demokrata iz savezne države Oregon, objavio da i američke obaveštajne službe kupuju podatke korisnika. Wyden je u otvorenom pismu Avril Haines, direktorici Nacionalne bezbednosti SAD-a (DNI), naveo da je „kupovina ličnih digitalnih podataka moguća samo uz prethodnu odluku suda“. On je za kompanije koje vrše već pomenuti data scraping, a koje sebe danas nazivaju data brokerima (trgovcima podataka) naveo da rade „u sivoj zoni zakona“.

Wyden je na sličnu praksu upozoravao još 2021. godine, kada je otkriveno da to čini i Vojna bezbednosna agencija (DIA). Senatoru je bilo potrebno čak tri godine da deklasifikuje sve potrebne dokumente, budući da je cela ova „trgovina“ bila pod velom „nacionalne bezbednosti“.

Američka Agencija za trgovinu (FTC) je već pokrenula postupak protiv jedne od ovakvih kompanija, X-Mode Social, koja je podatke prikupljene sa smartfona američkih građana prodavala „kupcima iz vojne industrije“ i to preko civilnih kontraktora“, tj. ugovornih  kompanija. U pismu senatoru Wydenu sa kraja prošle godine, general Paul M. Nakasone, koji je direktor agencije NSA (National Security Agency), koja je „centralna točka“ američkog prikupljanja i obrade podataka, direktno potvrđuje program kupovine podataka od privatnih kompanija. „CAI program“, kako ga NSA naziva, odnosi se na „komercijalno dostupne online podatke“, šta god to u praksi značilo.

„CAI program je od neprocjenjive važnosti za celokupnu američku obaveštajnu zajednicu, uključujući i NSA“, navodi se u pismu, sa koga je nedavno skinuta oznaka državne tajne.

 

Članak je prenet sa portala Aljazeera Balkans.

Click