Công cụ “tìm kiếm khuôn mặt” mới mạnh mẽ này có thể là cơn ác mộng về quyền riêng tư

 Trustwave cho biết công cụ tìm kiếm mạng xã hội theo tên và khuôn mặt của họ có thể hỗ trợ các bài kiểm tra thâm nhập bảo mật, nhưng nó có thể dẫn đến vi phạm quyền riêng tư.

Công cụ “tìm kiếm khuôn mặt” mới mạnh mẽ này có thể là cơn ác mộng về quyền riêng tư

[Ảnh: Người dùng Flickr Jay Phagan ]

HƠN NHƯ THẾ NÀY

Josh Hawley khuyến khích đám đông Capitol. Bây giờ tương lai của anh ấy với tư cách là cảnh sát Big Tech đang gặp nguy hiểm

Bạn không thể chống lại chủ nghĩa phát xít bằng cách mở rộng bang cảnh sát

Bí quyết “hàng chục bánh mì” để duy trì tinh thần khởi nghiệp khi công ty của bạn phát triển

BỞI STEVEN MELENDEZ3 PHÚT ĐỌC

Công ty an ninh mạng Trustwave đã phát hành một công cụ mã nguồn mở để tìm tài khoản của nhiều người trên các nền tảng truyền thông xã hội bằng cách tự động khớp tên và ảnh hồ sơ.

Công ty cho biết công cụ này, được gọi là Social Mapper , được thiết kế cho những người kiểm tra thâm nhập, những người thường lừa đảo nhân viên tại các công ty khách hàng để kiểm tra các biện pháp bảo mật và truy cập vào máy tính. Bằng cách cho thấy những kẻ tấn công thực tế có thể thuyết phục người lao động từ bỏ thông tin đăng nhập của họ cho những kẻ lừa đảo như thế nào, người kiểm tra có thể giúp các công ty đào tạo và đưa ra các biện pháp đối phó kỹ thuật để làm cho những cuộc tấn công đó trở nên kém khả thi hơn.

Karl Sigler, giám đốc tình báo về mối đe dọa tại Trustwave cho biết: “Công cụ này về cơ bản là không cần thiết. “Trong nhiều năm, chúng tôi đã phát hiện ra rằng rất nhiều thỏa hiệp và vi phạm mà chúng tôi tham gia, nói chung là dấu vết ban đầu, đến từ một cuộc tấn công kỹ thuật xã hội.”

Người dùng Social Mapper cung cấp thông tin đăng nhập của riêng họ vào các mạng xã hội khác nhau, cùng với một tệp chỉ định tên và hình ảnh khuôn mặt của những người họ muốn nhắm mục tiêu. Sau đó, công cụ này đăng nhập vào các mạng xã hội cụ thể như Facebook, LinkedIn, Instagram, VKontakte và Weibo và sử dụng các công cụ tìm kiếm của trang web và các công cụ nhận dạng khuôn mặt mã nguồn mở để tìm và ghi lại các kết quả phù hợp. Sau khi tìm thấy các kết quả trùng khớp, họ có thể kết bạn với người dùng trên các trang mạng xã hội và gửi cho họ các liên kết lừa đảo hoặc sử dụng dữ liệu từ các trang web để tạo email lừa đảo được cá nhân hóa, nhà nghiên cứu Jacob Wilkins của Trustwave đề xuất trong một bài đăng trên blog.

Sigler nói: “Việc thu thập tất cả những thông tin đó cho phép chúng tôi tạo ra những bức thư bán hàng rất hấp dẫn nếu bạn muốn.

Trustwave đã sử dụng công cụ này trong công việc thâm nhập của mình để loại bỏ nghiên cứu truyền thông xã hội thủ công tẻ nhạt, theo bài đăng.

Sigler nói: “Nó thực sự không quá phức tạp - chúng tôi không sử dụng bất kỳ API nào. "Thực sự, vấn đề chỉ là có một tài khoản trên mạng xã hội đó và truy cập vào dữ liệu có sẵn công khai."

Tuy nhiên, công cụ này đã gây ra một số lo ngại về việc liệu nó có thể được sử dụng cho mục đích xấu hoặc vi phạm quyền riêng tư của mọi người hay không.

Matt Cagle, luật sư công nghệ và tự do dân sự tại American Civil Liberties Union of Northern cho biết: “Một công cụ như thế này có thể cho phép ai đó hiển thị thông tin về người dùng mạng xã hội mà những người dùng đó không mong đợi rơi vào tay bên thứ ba California. “Điều thực sự quan trọng là những người đứng sau các công cụ phải nghĩ về trách nhiệm họ phải đảm bảo rằng những công cụ này không bị lạm dụng để sử dụng”.

Theo Cagle, nhiều mạng xã hội hiển thị thông tin hồ sơ như tên và ảnh hồ sơ theo mặc định. Facebook gần đây đã thực hiện một số bước để hạn chế việc tự động cạo tài khoản trên trang web bằng cách vô hiệu hóa tính năng cho phép người dùng tìm kiếm bạn bè tiềm năng bằng địa chỉ email hoặc số điện thoại, sau khi phát hiện ra nó được sử dụng để thu thập một cách có hệ thống dữ liệu hồ sơ công khai của nhiều người dùng dịch vụ. Công ty đang liên hệ với Trustwave về Social Mapper, một người phát ngôn cho biết.

“Chúng tôi đang liên hệ với nhóm Social Mapper để thảo luận về công cụ của họ và củng cố tầm quan trọng của việc tuân thủ các điều khoản dịch vụ của chúng tôi,” người phát ngôn cho biết trong một email gửi tới Fast Company . “Nói rõ hơn, việc sử dụng các công cụ tự động để xử lý nội dung là vi phạm các chính sách của chúng tôi nhằm giữ an toàn cho mọi người trên Facebook”.

LinkedIn , gần đây đã tham gia vào cuộc chiến pháp lý với một công ty lấy dữ liệu từ trang web của mình, đã không trả lời câu hỏi từ Fast Company về Social Mapper.

Sigler nói rằng nhiều tin tặc độc hại có thể đã có các công cụ mà họ có thể sử dụng để đánh cắp một cách có hệ thống các trang mạng xã hội nhằm mục đích lừa đảo, cho dù họ sử dụng phần mềm nhận dạng khuôn mặt hay chỉ ghép hình ảnh khuôn mặt với các nguồn dữ liệu khác theo cách thủ công. Ông nói, Social Mapper không có quyền truy cập vào bất kỳ dữ liệu nào chưa được công khai.

“Đó luôn là một trò chơi kiểu mèo vờn chuột — chúng tôi đang cố gắng mô phỏng các kỹ thuật mà chúng tôi đã thấy bọn tội phạm sử dụng,” anh nói. "Không có gì mà chưa thực sự được thực hiện."