Integritetsförgiftning utgör ett hot mot företag som använder blockchain

Kredit:CC0 Public Domain

En ny typ av cyberattack som kan göra blockkedjeteknik oanvändbar kan bli en stor huvudvärk för organisationer som är beroende av den.

Känd som sekretessförgiftning, "attacken innebär att man läser in privata data, som namn, adresser och kreditkortsnummer, eller olagligt material, såsom barnpornografi, till en blockkedja, därför sätter nätverket i konflikt med lokala lagar. Resultatet är att den drabbade kedjan med all dess innehåll inte kan användas om inte dyra och tidskrävande åtgärder vidtas.

Blockchain är en digital redovisning av transaktioner som körs på ett nätverk av datorer utan centraliserad styrande eller tillsynsmyndighet. Det drivs av dem som använder det. Tekniken utforskas alltmer av banker och finansiella tjänsteföretag, regeringar och nystartade företag för dess potential att förbättra effektiviteten hos betalningssystem samtidigt som kostnaderna minskar.

En faktor i uppkomsten av blockkedjeförgiftning är införandet av starka dataskyddslagar såsom Europeiska unionens allmänna dataskyddsförordning, eller GDPR, och Kaliforniens Consumer Privacy Act, eller CCPA. Båda tillåter konsumenter att begära att personuppgifter som innehas av ett företag raderas eller raderas.

Detta är ett problem för blockchain-system eftersom de är designade för att förhindra förändringar av tidigare transaktioner, och det finns ingen central myndighet som har till uppgift att åtgärda problem. Så kallade offentliga blockkedjor som de som ligger till grund för kryptovalutor som bitcoin och eter är mest utsatta eftersom alla kan delta. Deltagare i privata blockkedjor måste bjudas in och valideras av nätverksstartaren.

Bart Willemsen, en analytiker hos analysföretaget Gartner Inc., sa att ett-två-slag av integritetsförgiftning och integritetslagar kommer att drabba offentliga blockchains särskilt hårt.

Willemsen uppskattade att år 2022, tre av fyra offentliga blockkedjor kommer att drabbas av integritetsförgiftning – infogade personuppgifter som gör blockkedjan icke-kompatibel med integritetslagar. Företag som vill implementera tekniken måste avgöra om någon av de uppgifter som används faller under integritetslagar, sa han i en intervju.

Enligt GDPR, individuella integritetsrättigheter inkluderar "rätten att bli bortglömd, " vilket innebär att alla personliga uppgifter som visas offentligt måste raderas.

"Organisationer som implementerar blockkedjesystem utan att hantera sekretessfrågor genom design kommer att riskera att lagra personuppgifter som inte kan raderas utan att kompromissa med kedjeintegriteten, "enligt en Gartner -rapport.

Willemsen citerade en historia, som han medgav kan vara apokryfisk, av ett möte av EU-kommissionen där en deltagare betalade för en pizza i bitcoin och mottagarna tyckte att det skulle vara roligt att föreviga ögonblicket genom att sätta sina namn i textfält som kan skrivas in i bitcoin-blockkedjan.

"Du skulle verkligen alltid bli ihågkommen, och just där ligger problemet, sa Willemsen.

Dessa textfält i offentliga blockkedjor är outplånliga. Willemsen noterade att vad som utgör personlig information omfattar många saker, från namn till unika referenser som kan spåras tillbaka till en individ.

Willemsen sa att Gartners kunder har haft liknande problem, även om han avböjde att diskutera omständigheterna, med hänvisning till sekretessavtal.

Outplånlig vs. raderbar Förutom lagen i Kalifornien, liknande lagstiftning, med starkt konsumentskydd, väntar i New York, New Jersey och Washington.

Företag som vill använda blockchain som en säker lösning kanske vill tänka om, sa Jenny Leung, en advokat med Blakemore, Falla på, Garcia, Rosini &Russo i New York.

Hon noterade att den 1 januari 2020, CCPA kommer att ge Kaliforniens konsumenter "rätten att radera" som liknar GDPR:s rätt att bli glömd, genom att det tillåter människor att begära att företag raderar eventuella personliga uppgifter som de har lagrat. Men information som lagras i en blockchain kan inte raderas, som kan få företag till problem med lagen om de har lanserat eller organiserat den blockchain-baserade tjänsten, Hon sa.

Det enda sättet att radera uppgifterna kan vara genom en komplicerad "omformningsprocess", som flyttar hela nätverket till en ny uppsättning data och ogiltigförklarar den gamla uppsättningen.

Privata blockkedjor är något mer resistenta mot integritetsförgiftning, även om det kan förekomma. I de fallen, alla företag som fortfarande är anslutna till reskontran kan tvinga alla deltagare att gå med i en "hård gaffel" för att radera de kränkande uppgifterna. Eller privata blockkedjor kan tvinga dem alla att sluta fungera eller förstöra alla kopior av privata nycklar för att göra den krypterade datan permanent otillgänglig, sa Leung.

Denna process blir för dyr och komplicerad för offentliga blockkedjor, Hon sa. Det kan ta hundratals miljoner dollar att hyra tillräckligt med kryptogruvutrustning för att förändra nätverket eller orkestrera en hård gaffel genom att övertyga majoriteten att flytta till en ny kedja som inte innehåller de berörda uppgifterna.

"Det är inte något du vill göra varje gång du vill radera något, " sa Leung. "Det är kostsamt och tidskrävande."

Förutom skadliga attacker, Willemsen noterade att många fall sannolikt kommer att orsakas av mänskliga fel och dålig processdesign. Det spelar ingen roll enligt GDPR om en blockkedja har exponerat personuppgifter oskyldigt genom ett fel, han sa.

När integritetsförgiftning blir mer utbredd, Willemsen sa att han förväntar sig att flera saker kommer att hända. Den första är att människor kommer att fortsätta att ignorera sekretesspraxis på samma sätt som de gör för andra typer av cybersäkerhet. Automatiserade hackningsverktyg kan komma från vissa online-gemenskaper för att rikta in sig på exponerade offentliga blockkedjor eller för att göra konkurrenters system oanvändbara, han sa.

Företag som är intresserade av att använda en offentlig reskontra kanske vill välja privata blockkedjor, sa Randi Eitzman, senior analytiker för efterföljande av hot med FireEye iSIGHT Intelligence, en tjänst för forskning och analys av hot mot cybersäkerhet.

Blockkedjor är i slutändan "bara kostsam centraliserad datalagring, " sa Eitzman i ett e-postsvar på frågor. "Företag som letar efter säker datalagring kan undvika att använda dem beroende på deras kostnads-nyttoanalys, but a simple solution would be to avoid storing any sensitive customer information on a blockchain."

Regarding attacks on public blockchains, Eitzman noted that easy-to-use tools that allow anyone to write and store data on-chain, such as Bitstagram, a mobile application that lets users upload their smartphone photos to a blockchain, already exist. With such tools, it wouldn't take much for someone to upload illegal content, Hon sa.

"The benefit of a public ledger is that all transactions are easily viewable and can be tracked, " she said. "Anyone who stores sensitive or illegal content on-chain is doing so at their own risk."

Var är bussen? UW -studenters nya webbverktyg spårar transit genom Seattle -regionen

Walmart köper annonsteknikstart

Elektronik

Justitiedepartementet sätter Big Tech under antitrustmikroskopet

SoftBank säljer upp till 41 miljarder dollar i tillgångar för att köpa aktier, lägre skuld

Tusentals svenskar sätter in mikrochips i sig själva – det här är varför

Vetenskap

En översvämmad Everglades:Boon för fåglar men högt vatten hotar vissa arter

Böner kan tränga ut donationer till katastrofoffer

Månen är fortfarande geologiskt aktiv, studie föreslår