Nie słuchajcie tłumaczeń Snapchata i Dropboksa
Nie ma tygodnia, by nie było kolejnego głośnego wycieku danych - zdjęć, nagich zdjęć, loginów i haseł. Coraz częściej serwisy, z których dane wyciekają umywają jednak ręce od odpowiedzialności mówiąc: nie, to nie my, to zewnętrzny podmiot korzystający z naszych danych. Sorry, ale to niepoważne.
Najpierw Snapchat, potem Dropbox - oba niezwykle popularne serwisy internetowe padły ostatnio ofiarą poważnych ataków, jednak żaden z nich nie przyjął odpowiedzialności na siebie, mimo iż w ich wyniku setki tysięcy zdjęć oraz setki (a może nawet miliony) danych logowania użytkowników dostały się w niepowołane miejsce.
Oba serwisy wystosowały informacje prasowe, w których dowodziły, że to nie one są winne, tylko aplikacje zewnętrzne korzystające z dostępów do ich usług.
Bardziej bezczelnego tłumaczenia nie można by było sobie wyobrazić.
Po pierwsze, to od ustaleń na linii Snapchat/Dropbox - aplikacja zewnętrzna zależy bezpieczeństwo końcowego użytkownika. Jeśli główny podmiot akceptuje fakt, że zewnętrzny podmiot korzysta z jego danych, to końcowy użytkownik ma prawo domniemywać, że jest to bezpieczne. A jeśli nawet ma miejsce sytuacja, w której nie ma takiej autoryzacji, to i tak główny podmiot powinien interweniować na bieżąco, a nie dopiero wtedy, gdy dojdzie do wycieku.
Po drugie, wszystkie wielkie serwisy internetowe tworzą ekosystemy, zachęcając tym samym do tego, aby jak najwięcej zewnętrznych podmiotów integrowało się z ich usługami. W ten sposób buduje się zasięg oraz prestiż usługi, jak również ‚zamyka się’ klienta na dany typ rozwiązania. Nie można więc zjeść ciastka i mieć ciastka - albo się akceptuje ekosystem jako całość, albo nie ma się go w ogóle.
Po trzecie, to nie użytkownik końcowy powinien się martwić, tylko dostawca usługi, szczególnie w takim modelu biznesowym, jaki dziś obowiązuje - w którym najwyższą wartością są dane osobowe, prywatne, wiedza o zachowaniach użytkownika. Bezpieczeństwo powinno być więc bezwzględnym priorytetem usług internetowych o charakterze globalnym.
Nikt nie chce edukować nt. bezpieczeństwa
Oczywiście, że każdy korzystający z internetu powinien dbać o podstawowe zasady bezpieczeństwa: stosować mocne jednorazowe hasła, trzymać je w odpowiednich narzędziach, rozumieć jak działa phishing, zachować czujność przy korzystaniu z loginów społecznościowych. Jednak największe firmy technologiczne powinny znacznie bardziej komunikować zasady bezpiecznego korzystania z usług internetowych.
Nie widziałem po potężnych wyciekach danych celebrytów z iCloud, by Apple przesadnie promował dwustopniowe uwierzytelnianie konta. Nie widzę też teraz przesadnie wylewnych działań Snapchata, czy Dropboksa, które miałyby uczulić użytkowników przed lekkomyślnym zachowaniem.
Widzę natomiast spychologię graniczącą z arogancją. Powinniśmy wszyscy wymagać od dostawców usług znacznie więcej.
