Minden szolgáltatást lehallgat az amerikai hírszerzés
A legnagyobb amerikai webes szolgáltatásokban sincsenek biztonságban a felhasználó adatai - állítja az amerikai nemzetbiztonság egyik tisztje, aki lelkiismereti okokból szivárogtatott. A legnagyobb felhős szolgáltatásokhoz is hozzáfér a kormányügynökség, a következmények beláthatatlanok. Az érintett cégek tagadnak, a részletek homályosak.
Önkéntes alapon adott közvetlen hozzáférést a felhasználói adatokhoz a Szilícium-völgy krémje az amerikai Nemzetbiztonsági Hivatalnak (NSA) - állítja egy most kiszivárgott dokumentum. A Washington Post és a Guardian által megszerzett prezentáció szerint a PRISM program keretében az Apple, az AOL, a Google (és a YouTube), a Facebook, a Microsoft (Hotmail és Skype beleértve) és a Yahoo változatos formában és mélységben adott széleskörű hozzáférést a kormányügynökségnek a rendszereiken tárolt és azokon átfolyó adatokhoz.
A prezentáció szerint az NSA korlátlanul hozzáfért a szervereken tárolt emailekhez, szöveges, hangalapú és videós beszélgetésekhez, tárolt fotókhoz és videókhoz, elküldött fájlokhoz, videókonferenciákhoz, közösségi tevékenységekhez, feltöltött fájlokhoz, illetve olyan metaadatokhoz, mint a felhasználók belépései a rendszerbe. A dokumentum szerint a felsoroltakon kívül külön kérésre további adatok is lekérhetőek voltak, igény szerint.
A programhoz elsőként, még 2007-ben a Microsoft csatlakozott, a következő évben a Yahoo, 2009-ben, a Google, a Facebook és a PalTalk, 2010-ben a YouTube, 2011-ben pedig a Skype és az AOL, majd tavaly ősszel az Apple is belépett az évi 20 millió dolláros költségvetéssel futó programba. A dokumentum nyilvánosságra kerülése óta született reakciók szerint úgy tűnik, hogy az adatgyűjtés csak az Egyesült Államokon kívüli, nem-amerikai állampolgárokra korlátozódik és a program kifejezetten igyekezett minimalizálni az amerikaiakra vonatkozó véletlenül begyűjtött adatok mennyiségét - ez persze az európai felhasználók számára semmilyen védelmet nem jelent.
Önkéntes adatszolgáltatás
A kiszivárgott dokumentum szerint a PRISM program keretében az NSA-val együttműködő vállalatok önkéntes módon csatlakoztak a megfigyelési rendszerhez és adtak hozzáférést a náluk tárolt adatokhoz az ügynökségnek. Ezzel a PRISM megkerülhette az amerikai adatvédelmi rendszer egészét, amely abból a feltételezésből indul ki, hogy az adatkezelő vállalatok önként nem hajlandóak kiadni a felhasználói adatokat. Gyakorlatilag a teljes adatkezelési szabályozás ezen a hozzáálláson bukik, elsöprő többségben ugyanis csak azt szabályozza, hogy a hatóságok és kormányügynökségek milyen körülmények között kényszeríthetik az adatkezelőt az adatok kiadására. Amennyiben a vállalat önként és dalolva együttműködik és közvetlen hozzáférést biztosít a nála tárolt információkhoz, az NSA adatgyűjtése gyakorlatilag korlátlan lehet.
A PRISM projekt az állítások szerint elképesztően sikeres volt, egy ideje az elnök asztalára letett napi hírszerzési adatok legfontosabb forrásának számított. Csak tavaly mintegy 1477 jelentést eredményezett a projekt és "az egyik legértékesebb, egyedibb és produktívabb hozzáférés volt az NSA számára". Az adatgyűjtés üteme ráadásul meredeken gyorsult is, a Skype-tól megszerzett információk mennyisége például 2011 és 2012 között 248 százalékkal nőtt, a Facebook esetében ez 131 százalék, a Google esetében pedig 61 százalék volt.
CI/CD-vel folytatódik az AWS hazai online meetup-sorozata! A sorozat december 12-i, ötödik állomásán bemutatjuk az AWS CodeCatalyst platformot, és a nyílt forráskódú Daggert is.
A botrányt tovább dagasztja, hogy a napokban kiderült: a Verizon amerikai telekom-szolgáltató híváslisták millióit adta ki az NSA-nak, amivel a jogvédők (és pénzügyi elemzők) legrosszabb félelmeit váltotta valóra. A hívásokra vonatkozó metaadatok birtokában az ügynökség részletes profilt építhet minden Verizon-felhasználóról és azokról, akik őket hívták. Ugyan az adatok szerint az NSA nem fért hozzá a felhasználók nevéhez és lakcíméhez, a bekért lokációs adatok alapján ezeket triviális lehet kinyerni. Az adatszolgáltatás a rendelkezésre álló információk szerint jogszerűen, titkos birói utasításra történt, a kiadott adatok mennyisége azonban a legtöbb szakértőt megdöbbentette. A legfrissebb információk szerint a hívásokra vonatkozó adatgyűjtés az összes telekom-szolgáltatóra kiterjedt, a megfigyelés pedig már hét éve folyamatos és az amerikai szenátus kétpárti áldásával folyt.
Mindent tagadnak
A dokumentum által említett tech-cégek egyként tagadják a PRISM-programban való részvételt és azt, hogy közvetlen hozzáférést adtak volna az ügynökségnek a felhasználók adataihoz. A Techcrunch által összeszedett reakciókból szemezgettünk.
- Apple: "Sosem hallottunk a PRISM-ről. Nem adunk közvetlen hozzáférést semmilyen kormányügynökségnek a kiszolgálóinkhoz és minden ügynökségi kérelem kiszolgálásának bírói utasítás a feltétele."
- Facebook: "Nem adunk közvetlen hozzáférést semmilyen kormányügynökségnek a kiszolgálóinkhoz. Amikor egyes felhasználókra vonatkozó információkérést kapunk, azt megvizsgáljuk az összes vonatkozó törvénnyel szemben és csak a törvény által megkövetelt mértékben teljesítjük."
- Google: "A Google mélyen törődik a felhasználók adatainak biztonságával. A felhasználói adatokat csak a törvényes keretek között adjuk ki és minden erre vonatkozó kérést alaposan megvizsgálunk. Időről időre felmerül a vád, hogy hátsó kaput (backdoort) nyitunk a rendszereinkhez, de a Google-nél nincs backdoor a kormányzat számára a privát felhasználói adatokhoz."
- Microsoft: "Csak akkor adunk ki felhasználói adatokat, ha kötelező erejű végzést vagy idézést kapunk és sosem önkéntes alapon. Továbbá csak akkor teljesítjük az információkéréseket, ha azok egyes felhasználókra vagy azonosítókra vonatkoznak. Ha a kormányzatnak van is széleskörű, önkéntes alapon működő nemzetbiztonsági programja a felhasználói adatok gyűjtésére, abban nem veszünk részt."
- Yahoo: "A Yahoo! nagyon komolyan veszi a felhaszálók adatvédelmét. Nem adunk közvetlen hozzáférést a kormányzatnak kiszolgálóinkhoz, rendszereinkhez vagy hálózatunkhoz."
A Washington Post később pontosította a dokumentum állításait egy másik, szintén titkos információ alapján. Eszerint az NSA nem fér közvetlenül hozzá az adatokat tároló szerverekhez, hanem az említett vállalatok adatközpontjaiban telepített, az átfolyó adatokat gyűjtő eszközökhöz, amelyekből rendszeres időközönként, igény szerint töltöttek le adatokat. Ez megmagyarázza az eredeti dokumentum és a vállalatok nyilatkozatai közötti konfliktust, a cégek ugyanis részt vehettek a PRISM programban csupán azáltal, hogy önként beengedték a központba az NSA "fekete dobozait".
A legrosszabb forgatókönyv
Nehéz elképzelni súlyosabb vádakat a fent említett cégek felé, mint hogy közvetlen hozzáférést nyújtsanak a felhasználói adatokhoz a világ legnagyobb megfigyelő és adatgyűjtő rendszere számára. Ha a kiszivárgott dokumentum által megfogalmazott állítások igaznak bizonyulnak, annak rendkívül súlyos következményei lehetnek a teljes technológiai szektorra. Az elmúlt évtized egyértelműen az online szolgáltatások felemelkedéséről szólt előbb a konzumer, ma pedig már a nagyvállalati szegmensben is, ennek sarokköve pedig az adatkezelőben történő feltétlen bizalom. Ha ez a bizalom visszavonhatatlanul megsérül, akkor a felhő, mint üzleti modell gyakorlatilag véget ér.
Épp ezért tűnik elképzelhetetlennek, hogy a fent említett cégek beléptek volna a programba, ráadásul önkéntesen. Egy Google számára a felhasználók bizalma számít a legfontosabb versenyelőnynek, tudja ezt a vállalat és igyekszik mindent elkövetni, hogy ez így is maradjon: mind támadásokkal, mind a kormányzati adatkérésekkel szemben védelmezi a tárolt adatokat. Az, hogy házon belül milyen analitika alapjául szolgálnak az összegyűjtött adatok, más kérdés, de harmadik félnek csak törvény hatására adják ki ezeket. Ha bebizonyosodik, hogy a PRISM program valódi és úgy működik, ahogy a kiszivárgott dokumentumok állítják, azzal a cég rendkívül súlyos bizalomvesztést könyvelhet el és bizton állíthatjuk, hogy jelenlegi formájában életképtelenné válik, piaci értéke eltűnik, felhasználói elpárolognak. A kérdés így csupán az, hogy miért kockáztatná egy vállalat a részvényesei (és felhasználói) érdekeit?