Privatlivsforgiftning udgør en trussel mod virksomheder, der bruger blockchain

En ny type cyberangreb, der kan gøre blockchain-teknologi ubrugelig, kan blive en stor hovedpine for organisationer, der er afhængige af den.

Kendt som privatlivsforgiftning, "angrebet involverer indlæsning af private data, såsom navne, adresser og kreditkortnumre, eller ulovligt materiale, såsom børnepornografi, ind i en blockchain, sætter derfor netværket i konflikt med lokale love. Resultatet er, at den berørte kæde med alle dens indeholdte data ikke kan bruges, medmindre der tages dyre og tidskrævende skridt.

Blockchain er en digital hovedbog over transaktioner, der køres på et netværk af computere uden centraliseret styrende eller regulerende myndighed. Det drives af dem, der bruger det. Teknologien bliver i stigende grad udforsket af banker og finansielle servicevirksomheder, regeringer og nystartede virksomheder for dets potentiale til at forbedre effektiviteten af ​​betalingssystemer og samtidig reducere omkostningerne.

En faktor i stigningen i blockchain-forgiftning er indførelsen af ​​stærke databeskyttelseslove, såsom EU's generelle databeskyttelsesforordning, eller GDPR, og Californiens Consumer Privacy Act, eller CCPA. Begge giver forbrugerne mulighed for at anmode om, at personlige data, som en virksomhed opbevarer, slettes eller slettes.

Dette er et problem for blockchain-systemer, fordi de er designet til at forhindre ændringer i tidligere transaktioner, og der er ingen central myndighed, der har til opgave at rette problemer. Såkaldte offentlige blockchains som dem, der understøtter kryptovalutaer som bitcoin og ether, er mest udsatte, fordi alle kan deltage. Deltagere i private blockchains skal inviteres og valideres af netværksstarteren.

Bart Willemsen, en analytiker hos analysefirmaet Gartner Inc., sagde, at et-to-slaget af privatlivsforgiftning og privatlivslovgivning vil ramme offentlige blockchains særligt hårdt.

Willemsen vurderede, at i 2022 tre ud af fire offentlige blockchains vil lide privatlivsforgiftning - indsatte personlige data, der gør blockchainen ikke-kompatibel med privatlivslovgivningen. Virksomheder, der ønsker at implementere teknologien, skal afgøre, om nogen af ​​de anvendte data falder ind under lovgivningen om beskyttelse af personlige oplysninger, sagde han i et interview.

I henhold til GDPR, individuelle privatlivsrettigheder omfatter "retten til at blive glemt, ", hvilket betyder, at alle personlige data, der vises offentligt, skal slettes.

"Organisationer, der implementerer blockchain-systemer uden at administrere privatlivsproblemer ved design, vil risikere at gemme personlige data, der ikke kan slettes uden at kompromittere kædeintegriteten, " ifølge en Gartner-rapport.

Willemsen citerede en historie, som han indrømmede kan være apokryfisk, af et møde i EU-Kommissionen, hvor en deltager betalte for en pizza i bitcoin, og modtagerne syntes, det ville være sjovt at forevige øjeblikket ved at sætte deres navne i tekstfelter, der kan skrives ind i bitcoin blockchain.

"Du ville virkelig altid blive husket, og netop dér ​​ligger problemet, sagde Willemsen.

Disse tekstfelter i offentlige blockchains er uudslettelige. Willemsen bemærkede, at det, der udgør personlige oplysninger, dækker over mange ting, fra navne til unikke referencer, der kan spores tilbage til en person.

Willemsen sagde, at Gartner-klienter har haft lignende problemer, selvom han afviste at diskutere omstændighederne, med henvisning til fortrolighedsaftaler.

Uudslettelig vs. sletbar Ud over den californiske lov, lignende lovgivning, med stærk beskyttelse af forbrugernes privatliv, afventer i New York, New Jersey og Washington.

Virksomheder, der søger at bruge blockchain som en sikker løsning, vil måske genoverveje, sagde Jenny Leung, en advokat hos Blakemore, Falde på, Garcia, Rosini &Russo i New York.

Hun bemærkede, at den 1. januar, 2020, CCPA vil give californiske forbrugere "retten til sletning", som svarer til GDPR's ret til at blive glemt, i, at det giver folk mulighed for at anmode virksomheder om at slette alle personlige data, de har gemt. Men information gemt på en blockchain kan ikke slettes, som kan få virksomheder i problemer med loven, hvis de har lanceret eller organiseret den blockchain-baserede tjeneste, hun sagde.

Den eneste måde at slette data på kan være gennem en omstændelig "reforking"-proces, som flytter hele netværket til et nyt sæt data og ugyldiggør det gamle sæt.

Private blockchains er lidt mere modstandsdygtige over for privatlivsforgiftning, selvom det kan forekomme. I de tilfælde, alle virksomheder, der stadig er forbundet til hovedbogen, kan tvinge alle deltagerne til at deltage i en "hard fork" for at slette de stødende data. Eller private blockchains kan tvinge dem alle til at stoppe driften eller ødelægge alle kopier af private nøgler for at gøre de krypterede data permanent utilgængelige, sagde Leung.

Denne proces bliver for dyr og kompliceret for offentlige blockchains, hun sagde. Det kan tage hundredvis af millioner af dollars at leje nok krypto-mineudstyr til at ændre netværket eller orkestrere en hård gaffel ved at overbevise flertallet om at flytte til en ny kæde, der ikke indeholder de berørte data.

"Det er ikke noget, du vil gøre, hver gang du vil slette noget, " sagde Leung. "Det er dyrt og tidskrævende."

Udover ondsindede angreb, Willemsen bemærkede, at mange tilfælde højst sandsynligt vil være forårsaget af menneskelige fejl og dårligt procesdesign. Det er ligegyldigt i henhold til GDPR, hvis en blockchain har afsløret personlige data uskyldigt gennem en fejl, han sagde.

Når privatlivsforgiftning bliver mere udbredt, Willemsen sagde, at han forventer, at der vil ske flere ting. Den første er, at folk vil fortsætte med at ignorere privatlivspraksis på samme måde, som de gør for andre typer cybersikkerhed. Automatiserede hackingværktøjer kan dukke op fra visse online-fællesskaber for at målrette mod udsatte offentlige blockchains eller for at gøre konkurrenternes systemer ubrugelige, han sagde.

Virksomheder, der er interesseret i at bruge en offentlig hovedbog, vil måske vælge private blockchains, sagde Randi Eitzman, senior trusselforfølgelsesanalytiker med FireEye iSIGHT Intelligence, en cybersikkerhedstrusselforsknings- og analysetjeneste.

Blockchains er i sidste ende "bare dyr centraliseret datalagring, " sagde Eitzman i et e-mail-svar på spørgsmål. "Virksomheder, der leder efter sikker datalagring, kan undgå at bruge dem afhængigt af deres cost-benefit-analyse, but a simple solution would be to avoid storing any sensitive customer information on a blockchain."

Regarding attacks on public blockchains, Eitzman noted that easy-to-use tools that allow anyone to write and store data on-chain, such as Bitstagram, a mobile application that lets users upload their smartphone photos to a blockchain, already exist. With such tools, it wouldn't take much for someone to upload illegal content, hun sagde.

"The benefit of a public ledger is that all transactions are easily viewable and can be tracked, " she said. "Anyone who stores sensitive or illegal content on-chain is doing so at their own risk."

©2019 CQ-Roll Call, Inc., Alle rettigheder forbeholdes
Distribueret af Tribune Content Agency, LLC.