Az emberek még mindig úgy kezelik a szöveges üzeneteket, mintha titkokat suttognának egy páncélterembe. Vallomásokat, panaszokat, flörtöléseket és dühkitöréseket küldenek olyan platformokon keresztül, amelyek a megfigyelés billió dolláros nehézsúlyú tagjaihoz tartoznak – és nyilvánvalóan azt hiszik, hogy ezek az adatok eltűnnek egy jóindulatú digitális fekete lyukban. Valójában ezeket az üzeneteket olyan vállalatok szerverein tárolják, amelyek üzleti modellje azon alapul, hogy többet tudnak rólad, mint a saját családodról.

A magánélet illúziója

Az adatvédelem illúzióját a márkaimázs tartja életben. Azok a szép ikonok, zár hangulatjelek és megnyugtató kijelentések a “biztonságról” és a “védelemről” – ezek marketingeszközök, nem biztonsági garanciák. Ha egy szolgáltatás nem  használ végpontok közötti titkosítást, az üzenetek láthatók lesznek a vállalat, az alkalmazottak és bárki számára, aki rendelkezik a megfelelő hitelesítő adatokkal vagy bírósági végzéssel. Az olyan platformok, mint a Gmail vagy a Slack, nem mások, mint üvegajtós iratszekrények. Bárki, aki megoszt valami távolról is érzékeny dolgot, kockázatos játékot játszik. És a ház mindig nyer. Ezek a vállalatok olvasható formátumban tárolják az üzeneteket, promóciós célokra elemzik őket, peres eljárásokban megosztják őket, és hozzáférést biztosítanak hozzájuk tetszőleges számú belső csapat számára, olyan néven, mint a “moderálás” vagy az “adatelemzés”. Ha az adatok a vállalatok szervereire kerülnek, az tisztességes játék – még akkor is, ha gyenge a titkosítás.

És mégis továbbra is bízunk

Az emberek továbbra is érzékeny szövegeket, üzleti titkokat és személyes válságokat küldenek olyan adatvonalakon keresztül, amelyeket akár “hozzáférés kérésre” figyelmeztető jellel is megjelölhetnek. És akkor megdöbbennek, amikor valami kiszivárog:– Amikor egy híresség privát üzenetei megjelennek az X-en.– Amikor egy bírósági ügy feltárja a vezérigazgató DM-jeit.– Amikor egy elégedetlen volt alkalmazott belső csevegéseket tesz közzé.

A végpontok közötti titkosítás az utolsó védelmi vonal  a magánélet és a digitális panoptikon között. Az olyan alkalmazások, mint a Signal vagy a SimpleX Chat, valójában zárolva tartják a beszélgetéseket – nem “valahogy titkosítva”, nem “átvitel közben védve”, hanem valóban mindenki számára elérhetetlen, kivéve a feladót és a címzettet. És pontosan ezért utálják a kormányok és a technológiai vállalatok ezeket az eszközöket. Nem lehet őket megfigyelni, bevételt szerezni, manipulálni őket. Ha egyszer elküldtek egy üzenetet, az elérhetetlen számukra  – és ez elfogadhatatlan a telhetetlen adatkapzsiság korában.

“Nincs rejtegetnivalóm” – a legveszélyesebb mondat

Aligha ismétlődik olyan önelégült mondat, mint: “Nincs rejtegetnivalóm.” Leginkább olyan emberek, akik soha nem olvasták el az adatvédelmi szabályzatot, vagy nem gondoltak arra, hogy a postaládájuk  valamikor bizonyíték lehet. Az adatvédelem nem jelent titoktartást. Teret jelent. Hely hülyeségek mondására, hogy kiengedje a gőzt. Egyszerűen embernek lenni – anélkül, hogy mindent halhatatlanná tennének és felhasználnának ellened.

A brazil Discord-fiaskó

Éppen ezen a héten vált ismertté, hogy Brazíliában 15 kutató szivattyúzta ki az üres tó digitális megfelelőjét – azt állítva, hogy ez csak “a halakért” volt.

Egy “kutatási projekt” leple alatt több mint 2 milliárd Discord-üzenetet gyűjtöttek  össze 2015 és 2024 között – és mindent strukturált JSON-fájlként tettek közzé az egész interneten. Képzelje el: A tinédzserkori játékcsevegések egy gépi tanulási szeminárium anyagaként. A Minas Gerais Szövetségi Egyetem kutatói szerint mindez jogilag tiszta volt, teljesen etikus a Discord Általános Szerződési Feltételeivel összhangban. 3,167 szervert fésültek át, 4,7 millió felhasználót elemeztek  és 118 GB-os adatbázist tettek közzé. Most az akadémikusok a “mentális egészség” és a “politikai radikalizálódás” témáival turkálhatnak az idegenek digitális intimitásának maradványai között. “Minden adat olyan csoportoktól származik, amelyek a Discord Általános Szerződési Feltételei szerint kifejezetten nyilvánosnak minősülnek…” Ez a mondat megpróbálja igazolni azt, ami valójában a felhasználói elvárások megsértése .

Igen, a Discordnak vannak “nyilvános szerverei” – de senki sem számít arra, hogy csevegéseik egy másik kontinens egyetemei által üzemeltetett kereshető kutatási adatbázisokba  kerülnek. A Discord nem Reddit, hanem a No Twitter és a játékbarlang, a szerepjátékos csoport, a startup konyha és a kiégési önsegítő csoport keveréke.

“Anonimizálás”? Alig.

A kutatók azt mondják, hogy “anonimizálták” az adatokat.
Meredek állítás egy olyan időben, amikor még egy emoji plusz időbélyegző is elegendő az azonosításhoz. És ez még rosszabb lesz:
Miközben a mega adatkészletük közzétételével voltak elfoglalva, egy másik fejlesztő kiadta a “Searchcord”-ot – egy nem anonimizált adatokon alapuló Discord adateszközt.

Így működött az adatgyűjtés

• A Discord “Discovery” funkcióját használták az összes nyilvános szerver (több mint 31 000) rögzítésére.
• 10%-ukat véletlenszerűen választották ki.
• A Discord API segítségével évekig tartó beszélgetéseket, mémeket, dühkitöréseket és éjféli válságokat gyűjtöttek össze.
• Nincs rosszindulatú programok telepítése, nincs hackelés. Csak brutális adatgyűjtés – jogilag biztosított.

Olyan volt, mintha minden kézzel írt jegyzetet lemásoltak volna egy nyilvános könyvtárban, majd kiállították volna az “akadémiai szándékok” múzeumában.

A “Spy.pet” botrány 2024

Nem ez volt az első alkalom, hogy a Discord bizalmi modelljét kihasználták. 2024-ben a Spy.pet  projekt beszivárgott a szerverekre – beleértve a magánszemélyeket is –, és minden szót naplózott anonimizálás nélkül, etika nélkül. Csak a megfigyelés volt, mint szolgáltatás. A Discord digitális nukleáris csapással reagált: fiókokat töröltek, szervereket blokkoltak. Most Nincs ellentmondás, mert ez egy egyetem volt.

Az indoklás: “kutatás”

A kutatók azt mondják: “Ez segít a dezinformáció kutatásában.” Vagy: “Használhatja chatbotok betanítására.” Vagy: “Használhatja a káros viselkedés jobb megértésére.”

A TeleMessage feltörése: Aláásták a kormányzati rendszert

Ugyanakkor feltörték a TeleMessage Signalt (TM SGNL) – egy Signal klónt, amelyet olyan amerikai ügynökségek használnak, mint a FEMA, a Belbiztonság és a Titkosszolgálat. Nem csúcstechnológiás hack – a támadó unatkozó diákként kattintott az adminisztrációs panelen. Miért? Mert a jelszavakat az MD5-tel kivonatolták  – egy ősi, nem biztonságos algoritmussal. 20 perc elteltével a hacker hozzáfért– Archívumi rendszerek– Kormányzati metaadatok– Utazási tervek. Több mint 60 tisztviselőt érintett – köztük a Fehér Házat is.

Az adatvédelem eszköze? Nem, a megfelelés miatt

A TM SGNL-t soha nem a biztonságot szem előtt tartva tervezték. Úgy kellett volna kinéznie, mint a Signal, de mindent naplózni – “legális archiváláshoz”. Egy Frankenstein termék, amely szimulálja az adatvédelmet, de lehetővé teszi a megfigyelést.

Hiba? Nem – Szándék

Az igazi botrány az az, hogy az alkalmazást szándékosan úgy építették, hogy meghibásodik.
A jelet kibelezték – annak érdekében, hogy megrendeléseket kapjanak az államtól. Erre a célra az admin konzol JSP-ben  épült – a Netscape-korszak technológiája.
Egy egyszerű vizsgálat feroxbusterrel feltárta:– Egy /heapdump fájl, meg van nyitva a neten.
Belül:– E-mailek– Jelszavak– Telefonszámok ez így Jackpot a hackerek számára.

Következtetés: Minden, ami nincs végponttól végpontig titkosítva, előbb-utóbb nyilvánossá válik

Ha az üzenet nincs végpontok között titkosítva , akkor másolatként létezik egy másik számítógépen. Legyen szó kíváncsi gyakornokról, hackerekről vagy unatkozó doktoranduszokról – valaki figyeli, ha teheti. És legtöbbször megtehetik.