تثير حياة البيانات الشخصية بعد تسريبها العديد من الأسئلة القانونية والأخلاقية. هل يمكننا استخدام هذه البيانات التي تم الحصول عليها بشكل غير قانوني ، حتى لحماية الضحايا؟ يبدو أن القانون يشير إلى "لا" ، لكن موقعًا بعنوان "هل كنت محتارًا" ، فرض براغماتية.
مع كل خرق للبيانات يتم الإعلان عنه ، يسأل عامة الناس سؤالًا منطقيًا: هل معلوماتي الشخصية مدرجة؟ وفي كل مرة تقريبًا ، يتم تصميم المواقع خصيصًا للإجابة على السؤال. تعتبر الحلقة الأخيرة حول 500 مليون رقم هاتف مسروق من Facebook مثالاً آخر. في اليوم التالي ، وُلدت مواقع مثل haveibeenzucked.com أو haveibeenfacebooked.com. كان يكفي إدخال المعلومات الشخصية (رقم الهاتف والاسم) لمعرفة ما إذا كنا جزءًا من عملية خرق البيانات أم لا.
في أغلب الأحيان ، تهتم وسائل الإعلام ، وبالتالي عامة الناس ، بتسريبات البيانات عندما تصبح في متناول أكبر عدد من الأشخاص. على سبيل المثال ، للحصول على اختراق بيانات Facebook ، كل ما عليك فعله هو تسجيل الدخول إلى منتدى تبادل بيانات معروف ، يمكن الوصول إليه من أي متصفح. ثم كل ما تبقى هو إنفاق بعض أرصدة الموقع (ما يعادل 2 يورو) لفتح الرابط إلى إحدى مناطق التنزيل. وبسرعة ، أصبحت هذه الروابط متاحة حتى دون الدفع على مواقع أخرى.
يقدم "أراك" أداة للتحقق من وجوده في تسريب Facebook. // المصدر: Numerama لقطة شاشة على jetevois.fr
لقد حصل مجرمو الإنترنت وباحثو الأمن السيبراني والصحفيون وكذلك مجموعة كاملة من الأشخاص الفضوليين على قاعدة البيانات. والبعض منهم أراد المساعدة. هذه هي حالة بيير ألكسيس ، طالب في كلية إدارة الأعمال ، أقام مع صديقه ، الذي تخرج من كلية الهندسة ، مشروعًا تطوعيًا حول "البيانات الضخمة" ، بعنوان "أراك". في عطلة نهاية الأسبوع من الحادث ، رأى الثنائي طلبًا متزايدًا من الفرنسيين: لقد أرادوا معرفة ما إذا كانت بياناتهم موجودة في قاعدة البيانات أم لا.
كما أوضح بيير ألكسيس لـ Cyberguerre ، فقد استعادوا رابط جزء من قاعدة البيانات - تلك التي تحتوي على 20 مليون رقم فرنسي - في مجموعة Telegram. ثم قاموا بتنظيفها "حرصًا على السرية" من خلال الاحتفاظ بأرقام الهواتف فقط ، وربطها بأداة البحث الخاصة بهم. نتيجة لذلك ، يمكن للفرنسيين (ولا يزال بإمكانهم) إدخال رقم هاتفهم على الأداة لمعرفة ما إذا كانوا من بين الضحايا.
اهتم الصديقان بتقديم الموقع ، وأشارا إلى عدة روابط مفيدة لفهم مخاطر التسريب. "أراك" لا يعرض إعلانات أو يبيع أي منتج أو خدمة بطريقة أخرى. باختصار: تبدو المبادرة صادقة ونزيهة. لكن من خلال منصتهما ، دخل الشابان في منطقة رمادية من القانون: تلك المتعلقة بحياة البيانات الشخصية بعد رحلتهما. منطقة يدخلها العديد من الأشخاص مع كل خرق للبيانات ، ولكن يبدو أن السلطات تتسامح مع موقع واحد على المدى الطويل. اسمه ؟ لقد كنت Pwned.
لقد أصبحت مملوكًا ، مرجعية غير منزعجة
Have I been Pwned (HIBP ، والذي يمكن ترجمته إلى "هل تم خداعي؟") موجود منذ عام 2013 ، وكان دائمًا يديره رجل واحد ، مؤسسه تروي هانت. اليوم ، يمكن اعتبار هذا الأسترالي "السيد داتا ليك" ، لأنه واجهة الموقع التي أصبحت المرجع بلا منازع في الموضوع. "لقد تم بناء Pwned على أساس استجواب بسيط: وقعت حادثة ، ولا يمكنك إصلاحها ، فما هو أفضل شيء تفعله؟ "تلخيص رجل الأعمال ، الذي قابلته Cyberwar ، قبل أن يضيف:" لا يوجد حل مثالي لإدارة تسرب البيانات. "
رائد حقيقي لهذه المنطقة الرمادية حول التسريبات ، شهد هانت انتشارها في السنوات الأخيرة. وقد تمكن أيضًا من متابعة تعزيز القوانين عن كثب ، ولا سيما بدء نفاذ اللائحة العامة لحماية البيانات (GDPR) في عام 2018 ، وهو نص بارز للدفاع عن البيانات الشخصية.
يحمل تروي هانت ، مؤسس فرقة Have I Been Pwned ، تحديثًا أسبوعيًا لمجتمعه. // المصدر: يوتيوب تروي هانت
اليوم ، يسمح HIBP للزائرين بالبحث عن عناوين بريدهم الإلكتروني - ومع استثناءات نادرة ، بيانات أخرى - من بين أكثر من 10 مليارات سطر من البيانات المسربة. يشير الموقع بعد ذلك إلى نوع التسريب الذي كان البريد الإلكتروني موجودًا فيه ، وتاريخه ، وأنواع المعلومات الأخرى المرتبطة به. يتم إجراء عمليات البحث هذه على قواعد البيانات التي تم تنظيفها بواسطة Hunt ، حيث يبقى عنوان البريد الإلكتروني فقط ، وهو القاسم الأكثر شيوعًا بين التسريبات. ما سبب هذا الاحتياط؟ إذا تم اختراق الموقع في أي وقت ، فستكون الكارثة أقل ، حيث لن يتمكن المتسللون من الوصول إلى هذه المعلومات إلا.
لا يبحث تروي هانت في قواعد البيانات بنفسه - بل إن مجتمعه يرسلها إليه. بالنسبة إلى Cyberguerre ، يقول إنه يتلقى "أكثر من 3 يوميًا" ، سواء قرر أو لم يقرر إضافة إلى موقعه وفقًا لمعاييره الأخلاقية الخاصة. هدفها ليس إنشاء أكبر قاعدة بيانات مسربة في العالم ، ولكن ببساطة فهرسة تلك التي ستكون ذات أهمية لعامة الناس. تسمح له هذه العملية القائمة على المساهمة بعدم وضع يديه على المنصات غير القانونية حيث يتم تبادل البيانات ، ولكن لها جانبًا سلبيًا: إذا لم يتم إرسال قاعدة البيانات إليها ... حسنًا ، فلن تظهر أبدًا على Have I Been Pwned.
حسن النية لا يكفي في وجه القانون
دون أن يكون Pwned ، لم يكن أمام الضحايا خيار سوى اللجوء إلى أحد الموقعين اللذين تم إنشاؤهما لهذه المناسبة لمعرفة ما إذا كانوا قد تأثروا بالتسرب أم لا. المشكلة: بالكاد يتم التسامح مع هذه المبادرات من قبل هيئة البيانات الفرنسية ، اللجنة الوطنية للمعلوماتية والحريات (Cnil). "بشكل عام ، كل ما يمكننا قوله هو أن هذا النوع من الأدوات يتطلب معالجة البيانات الشخصية وأنه يجب بالتالي الامتثال لقانون حماية البيانات و RGPD" ، أوضحت اللجنة. لـ Cyberwar. طريقة واحدة لرفض الأدوات بشكل سلبي ، حيث يكون امتثالها للائحة العامة لحماية البيانات مستحيلًا بطبيعته ، على الرغم من الاحتياطات المكثفة.
قررت هيئة البيانات الإيطالية ، من جانبها ، قضية haveibeenfacebooked.com ، الذي تم إنشاؤه للتسريب الأخير لأرقام الهواتف: "يحذر الضامن [اسم السلطة الإيطالية ، ملاحظة] أي شخص لديه بيانات شخصية بعد الانتهاك ، أن استخدامها المحتمل ، حتى للأغراض الإيجابية ، محظور بموجب تشريعات الخصوصية ، وهذه المعلومات هي نتيجة معالجة غير قانونية. منذ إصدار هذا البيان الصحفي ، أبلغ الموقع أنه "غير متوفر لأسباب قانونية" ، لكن لحسن الحظ ، استحوذت HIBP على الأمر.
يعرض "غير متاح لأسباب قانونية" نسخة من Have I Been Pwned مخصصة لتسريب Facebook. // المصدر: لقطة شاشة نوميراما
في مدونته الأخيرة بتاريخ 6 أبريل 2021 ، أشار تروي هانت إلى "الظهور المفاجئ لاستنساخ HIBP". وبينما يقول إنه "سعيد بتأثير مشروعه" ، يتذكر أنه من الصعب معرفة مقدار الثقة التي يمكن أن يضعها الضحايا في هذه المبادرات. لسبب وجيه: يجب أن نثق بمنشئ الأداة في التحقق من محتوى التسريب وحماية معالجة البيانات. ومع ذلك ، فإن العديد من نسخ HIBP هي عمل طلاب مثل Pierre-Alexis أو محترفين يصعب تقييم سمعتهم. من الصعب التأكد من أنهم قد حددوا التسرب الصحيح ، أو أنهم يتخذون الاحتياطات الكافية لحماية ضحايا التسرب. وهذا على الرغم من جهود الشفافية وحسن نية المطورين.
حصلت على تصريح مرور فريد من نوعه
علاقة الثقة هذه هي الأصل الرئيسي لـ Have I Been Pwned. في 7 سنوات ، كان لدى Troy Hunt الوقت لطرح العديد من الأسئلة على نفسه حول الحدود القانونية والأخلاقية لنشاطه ؛ ومواجهة جميع أنواع السيناريوهات.
حتى اليوم ، يدافع عن شكل من أشكال البراغماتية: "يتم الحصول على هذه البيانات الشخصية من خلال أنشطة غير قانونية ، ثم يتم مشاركتها على شبكات مختلفة. من ناحية أخرى ، يمكننا النظر في قوانين الخصوصية ، والتي تشير إلى أنه يجب أن يحصل المرء على موافقة الضحايا للاحتفاظ بالبيانات. من ناحية أخرى ، فإن البيانات متاحة بالفعل لأي شخص ، ولا يمكننا إعادتها من حيث أتت. غالبًا ما أستخدم استعارة التبول في البركة: يمكنك إنقاذ ما تريد ، ولن تتمكن من إزالته ، لقد تم تخفيفه بالفعل. "
هل يمكنني أن أكون مرهونًا موجودًا بدون مؤسسها؟
على الرغم من ظهور القوانين الجديدة ، لم يكن HIBP قلقًا أبدًا ، كما يخبرنا Troy Hunt. ورجل الأعمال واضح فيما يتعلق بأسباب عدم التدخل الذي يستمتع به: "يمكنني القيام بهذا النشاط لأن لدي علاقات جيدة ولأنني أقوم بذلك لفترة طويلة". إنه رحالة عندما تسمح الحالة الصحية به ، وقد التقى الأسترالي مع السلطات والمنظمين في عشرات البلدان في السنوات الأخيرة. في الواقع ، أقنع العديد منهم بدمج Have I been Pwned في أدواتهم. من بين مستخدميها ، تحسب FBI أو وزارة الأمن الداخلي. "أنا منفتح جدًا بشأن كيفية استخدامي للبيانات. لقد كنت أقابل هذه الوكالات لمدة 7 سنوات ، وهم يعرفون أن أفعالي مشروعة "، يشرح. طريقة واحدة للقول أن الغاية تبرر الوسيلة.
في السنوات الأخيرة ، حاول تروي هانت ، الذي كان على وشك الإنهاك ، مشاركة ضوابط مشروعه الثمين. الهدف: تنمية الموقع وجعله مستدامًا ، مع الحفاظ على المسؤوليات في الهيكل الجديد. على الرغم من الاختبارات الناجحة تقريبًا ، لم يجد المشتري المناسب. لذلك ألغى البيع ، واحتفظ بالسيطرة على موقعه الذي يواصل إدارته بنفسه. في الوقت الحالي ، يعمل هذا النظام. ولكن من سيتعامل مع البيانات المتسربة عندما يتقاعد بجدارة؟ هل سأظل Pwned أستمر في التمتع بنفس الإفلات من العقاب؟ من الذي سيبلغ ضحايا التسريب بأن بياناتهم تعرضت للاختراق؟
0 تعليقات