Ludzie pracujący w pomocy technicznej prawdopodobnie wiedzą o tobie wszystko

mm Maciej Olanicki Artykuły 2019-04-23

Nic nie zapowiada, by dominacji obchodzącego w tym roku swoje 15. urodziny Gmaila cokolwiek zagrażało. Szczególnie jeśli weźmie się pod uwagę ujawniony w zeszłym tygodniu wyciek niezwykle wrażliwych danych z konkurencyjnej usługi dostarczanej przez Microsoft – poczty Outlook. Mam jednak wrażenie, że wiele osób przeoczyło, w jaki sposób doszło do wglądu w treści maili użytkowników Outlooka. A właśnie ta kwestia niepokoi w całej sprawie najbardziej.

Mroczne wieki dla bezpieczeństwa danych

Do regularnych i rażących naruszeń standardów ochrony danych osobowych przyzwyczaił nas przede wszystkim Facebook. Przyznajmy to sobie – administracja błękitnego serwisu nie liczy się z nikim, bo i nie ma z kim się liczyć. W ostatnim czasie poproszono użytkowników o hasła do skrzynek mailowych. Następnie – oczywiście zupełnie przypadkowo – wykradziono z nich książki adresowe i zaczęto wykorzystywać adresy do targetowania reklam. Skoro takie praktyki uchodzą Zuckerbergowi płazem, naprawdę trudno sobie wyobrazić, co mogłoby choćby odrobinę zaszkodzić.

haveibennpwnd

Być może w tym szaleństwie jest metoda – cotygodniowe skandale stępiają wrażliwość użytkowników. Skoro czyjś mail pojawia się w bazie Have I Been Pwnd w związku z wyciekiem po raz dziesiąty, to jedenasty pewnie nie zrobi na nim wrażenia. Ale dla Microsoftu zeszłotygodniowy incydent z uzyskaniem dostępu do usług pocztowych był pierwszym od dłuższego czasu. Przemilczę kwestię tego, że korporacja przeczyła z początku, że atakujący uzyskali dostęp do treści, by dopiero pod presją dziennikarzy Vice’a musieć się z tej wersji wycofywać. Końcowy rezultat – włamywacze przez pół roku mieli pełen wgląd do skrzynek, łącznie z treścią maili i książką adresową.

Outlook i wszechmocna pomoc techniczna

W tej sprawie nie mniej ważne niż co jest jak. W jaki sposób udało się spenetrować infrastrukturę usług pocztowych największego producenta oprogramowania na świecie? W mailu rozesłanym do ofiar włamań Microsoft podaje jako wektor konta pomocy technicznej usługi Outlook. To do nich uzyskali dostęp napastnicy i to dzięki nim byli w stanie odczytywać najwrażliwsze dane, przejąć w zasadzie całe konto. Jednocześnie Microsoft zaprzecza, aby wykradzione zostały dane logowania użytkowników. Wystarczy dodać dwa do dwóch, by zrozumieć, że pomoc techniczna Microsoftu ma w zasadzie nieograniczony dostęp do maili użytkowników poczty Outlook, Hotmail i MSN.

Podobnych incydentów było zresztą w ostatnim czasie więcej – niezawodny w kwestii blamażu Facebook przechowywał hasła w niezaszyfrowanej postaci umożliwiającej własnym pracownikom przeszukiwanie bazy. Warto także przypomnieć, że Amazon przyznał ostatnio, że pracownicy przesłuchują pojedyncze nagrania w celach testowych. Nagle okazuje się, że szeregowy pracownik pomocy technicznej – a naprawdę nie trzeba aż tak wiele, by się na takim stanowisku zatrudnić, been there, done that – może zrobić cokolwiek z kontami użytkowników największych usług, które przechowują najwrażliwsze dane.

Przetwarzanie z ludzką twarzą

A to zmienia mocno postać rzeczy. O maszynowym przetwarzaniu najwrażliwszych danych w celach reklamowych wie dzisiaj każde dziecko, ale czy ktoś domyślał się, że maile może czytać… człowiek? Konkretna osoba, która tylko na podstawie umów ze swoim pracodawcą zgadza się na to, by pozyskanej w ten sposób wiedzy nie wykorzystywać dowolnie poza godzinami w biurze? Wygląda na to, że pomoc techniczna Microsoftu czy Facebooka to po drugiej stronie okienka kawał dobrej zabawy! Jej namiastkę może oddawać wciągająca, acz podzielona na niedorzecznie krótkie epizody seria gier narracyjnych Orwell.

Outlook-Orwell-gra

Wróćmy na moment do naszego nastolatka, Gmaila. Zapoczątkowany dzięki niemu model biznesowy stanowił przełom. W zamian za dopracowaną usługę pocztową z bardzo dużą ilością miejsca na maile oferowaną bezpłatnie pozwalaliśmy skanować maszynowo maile w celu targetowania reklam. Ochoczo przystaliśmy na scenariusz, który jeszcze kilka lat wcześniej wydawał się w kontekście rozwoju Internetu najczarniejszy. Zachodzi tu jednak pewna uczciwa wymiana – przetwarzane maszynowo dane za usługę. Czy doszłoby do niej, gdybyśmy wiedzieli, że reklamy na podstawie lektury naszych maili dobierają ludzie?

Uprawnienia? Wedle potrzeb

Dostęp do treści maili przechowywanych w skrzynkach Outlook daleko wykracza poza diagnostyczno-naprawcze potrzeby pomocy technicznej. Pracownik poczty nie musi znać treści listu, by pomóc go odnaleźć, gdy się zagubi. Konsultant operatora komórkowego nie musi znać treści rozmów, by pomóc w opłaceniu przeoczonej faktury. Pomoc techniczna Microsoftu, Facebooka oraz zapewne wielu innych korporacji nie musi czytać naszych mail czy poznawać haseł w niezaszyfrowanej postaci, by móc robić to, czego od niej oczekujemy. A mamy prawo oczekiwać – wszak za każdą z tych usług każdego dnia słono płacimy własnymi danymi.






Przewiń stronę, by przeczytać kolejny wpis
x