გასულ წელს, ჯანმრთელობის მონიტორინგის მოწყობილობების მწარმოებელი Oura სოციალური მედიის ქარცეცხლში გაეხვა თავდაცვის დეპარტამენტთან და Palantir-თან შეთანხმების გაფორმების შემდეგ. ზოგიერთ მომხმარებელს ეშინოდა, რომ მათი მონაცემები ტრამპის ადმინისტრაციის ხელში აღმოჩნდებოდა. სკანდალი იმდენად გაღვივდა, რომ ჩემმა პარტნიორმა, Oura-ს ბეჭდის მომხმარებელმა, მიიპყრო ჩემი ყურადღება.
Oura-ს ბეჭდები არის ჯანმრთელობის მონიტორინგის აპარატურული მოწყობილობები, რომლებიც თითზე ატარებენ. ეს ბატარეაზე მომუშავე ბეჭდები აკონტროლებენ ადამიანის ჯანმრთელობის მონაცემებს, როგორიცაა გულისცემა, ძილის რეჟიმი, მენსტრუალური ციკლი და ათობით სხვა მონაცემი, მათ შორის მათი მდებარეობა. Oura ინახავს უამრავ სენსიტიურ ინფორმაციას თავისი მომხმარებლების შესახებ საკუთარ სერვერებზე.
როგორც უსაფრთხოებისა და კონფიდენციალურობის მოყვარულ რეპორტიორს და იმ ადამიანის პარტნიორს, რომელიც იყენებს ამ მოწყობილობას, მაინტერესებდა: სად მიდის ეს მონაცემები და როგორ ხვდება იქ? შეიძლება იფიქროთ, რომ ამას მნიშვნელობა არ აქვს. მაგრამ ის, თუ როგორ აწყობენ კომპანიები თავიანთ პროდუქტებსა და სერვერებს, განსაზღვრავს, შეუძლიათ თუ არა მთავრობებს (ან ჰაკერებს) ასევე მიიღონ წვდომა მომხმარებლის მონაცემებზე.
ეს იყო კარგი შესაძლებლობა, რომ გამერკვია, როგორ მუშაობს Oura-ს ბეჭდები, როგორ აგზავნიან მონაცემებს, როგორ ინახება ეს მონაცემები და ვის აქვს მათზე წვდომა. დავწერე დეტალური სტატია, სადაც ავხსენი, თუ რატომ აძლევს Oura-ს უსაფრთხოების დიზაინის არჩევანი მთავრობებს საშუალებას, მიიღონ ჩანაწერები Oura-ს მომხმარებლის ინფორმაციის ვრცელი ბაზებიდან.
Oura ამ მხრივ უნიკალური არ არის და მრავალი (თუ არა უმეტესობა) კომპანია თავის სისტემებს ისე აწყობს, რომ თანამშრომლებს ჰქონდეთ წვდომა მომხმარებლის მონაცემებზე, შესაძლოა მომხმარებლის პრობლემების მოსაგვარებლად, ან იმიტომ, რომ ეს იყო ყველაზე მარტივი და იაფი გამოსავალი ოდესღაც ფინანსურად შეზღუდული სტარტაპისთვის. მაგრამ Oura დღეს ერთ-ერთი უმსხვილესი ჯანმრთელობის ტექნოლოგიური მოწყობილობების მწარმოებელია, რომლის ღირებულებაც 11 მილიარდ დოლარს აღემატება საჯარო შეთავაზებამდე. კომპანიას ეკისრება უფრო მეტი პასუხისმგებლობა, ვიდრე ოდესმე, უზრუნველყოს, რომ მისი მომხმარებლების მონაცემებზე წვდომა შეუძლებელი იყოს. და Oura-ს აღარ შეუძლია იმის მტკიცება, რომ მას არ აქვს ამისათვის ფინანსური რესურსები.
ჩემს წინა ბლოგში გამოვავლინე, რომ Oura-ს მონაცემები არ არის ბოლოდან ბოლომდე დაშიფრული. ეს ნიშნავს, რომ Oura-ს მომხმარებლის ჯანმრთელობის მონაცემების გაშიფვრა შესაძლებელია გარკვეულ წერტილებში, როდესაც ის მოძრაობს ადამიანის ბეჭდიდან, ტელეფონის აპლიკაციის გავლით, ინტერნეტით და Oura-ს სერვერებზე დაშვებისას. კომპანიამ დაადასტურა, რომ ის ინახავს მომხმარებლის მონაცემებს ისე, რომ ზოგიერთ თანამშრომელს შეუძლია მასზე წვდომა. ეს ასევე ნიშნავს, რომ სხვებსაც შეუძლიათ, მაგალითად, პროკურორს ორდერით, ჰაკერს მოპარული გასაღებებით, ან უკმაყოფილო ინსაიდერს, რომელსაც სურს არეულობის დატოვება.
ამ სამიდან, ჩვენ ვიცით, რომ ერთ-ერთი მაინც მოხდა.
„უსაფრთხოების ამ კვირაში“ არის ჩემი ყოველკვირეული კიბერუსაფრთხოების საინფორმაციო ბიულეტენი, რომელსაც თქვენნაირი მკითხველები უჭერენ მხარს. გთხოვთ, განიხილოთ ფასიანი გამოწერის გაკეთება, თვეში 10 დოლარიდან, ექსკლუზიური სტატიების, ანალიზისა და სხვა მასალების მისაღებად.
ან, შეგიძლიათ ერთჯერადი შემოწირულობა გააკეთოთ თქვენი მხარდაჭერის გამოსახატავად!
როდესაც ჩემი ბოლო სტატიის გამოქვეყნებამდე კომენტარისთვის დავუკავშირდი, Oura-ს სპიკერმა მითხრა, რომ კომპანია „მთავრობისგან იშვიათ მოთხოვნებს იღებს“. Oura-მ განაცხადა, რომ ის განიხილავს თითოეულ მოთხოვნას „კანონიერების, მოცულობისა და აუცილებლობის“ თვალსაზრისით და რომ ის უარყოფს მოთხოვნებს „როდესაც ისინი არასწორია, ზედმეტად ფართოა ან არ შეესაბამება ჩვენს ვალდებულებას, დავიცვათ ჩვენი წევრების კონფიდენციალურობა“.
Oura-ს არ უთქვამს, რამდენი მოთხოვნა მიიღო, რამდენად ხშირად გადასცემს მომხმარებლის მონაცემებს, ან რა სახის მონაცემებს ითხოვენ. ჩემი ბოლო სტატიის დაწერის დროისთვის Oura-ს 5.5 მილიონზე მეტი ბეჭედი ჰქონდა გაყიდული, რაც კომპანიის მომხმარებელთა ბაზის ზომის მასშტაბს გვიჩვენებს.
მაშინ Oura-ს ვკითხე, გაამჟღავნებდა თუ არა, რამდენად ხშირად იღებდა ამ მოთხოვნებს, მაგალითად, გამჭვირვალობის ანგარიშის გამოქვეყნებით. ტექნოლოგიური კომპანიების ტალღამ დაიწყო ნახევარწლიურად გამოქვეყნება, თუ რამდენი სამთავრობო მოთხოვნა მიიღეს. ეს დიდწილად მიზნად ისახავდა იმ მტკიცებების საწინააღმდეგოდ, რომ ისინი საიდუმლოდ გადასცემდნენ მომხმარებლის მონაცემების დიდ რაოდენობას მთავრობას მოთხოვნის საფუძველზე, რაც 2013 წლის NSA-ს თვალთვალის სკანდალიდან მომდინარეობდა.
Oura-ს თავდაპირველ პასუხში გარკვეული იმედი იყო. სპიკერმა მაშინ მითხრა, რომ მიუხედავად იმისა, რომ Oura არ აქვეყნებს გამჭვირვალობის ანგარიშს, კომპანიამ განაცხადა, რომ „აქტიურად აფასებდა, თუ როგორ გაეზიარებინა აგრეგირებული მონაცემები ისე, რომ შეენარჩუნებინა უსაფრთხოება და არ შეექმნა რისკი ჩვენი წევრებისთვის“.
რვა თვე გავიდა, ძვირფასო მკითხველო.
ცოტა ხნის წინ კვლავ დავუკავშირდი Oura-ს, რათა გამერკვია, გამოაქვეყნებდა თუ არა გამჭვირვალობის ანგარიშს, და რამდენიმე შემდგომი ელფოსტის შემდეგ, ოდესღაც პასუხისმგებელ Oura-ს ჯერ არ უპასუხია ჩემს არცერთ შეკითხვაზე, ან არ აუღია ვალდებულება ციფრების გამოქვეყნებაზე. იმედი მაქვს, რომ Oura გადაიფიქრებს და გამოაქვეყნებს, რამდენი მოთხოვნა მიიღო, როგორც ამას სხვა ტექნოლოგიური კომპანიები აკეთებენ.
ციფრების გარეშე შეუძლებელია იმის ცოდნა, რამდენად ხშირად, თუ საერთოდ, უარყოფს Oura მთავრობის მონაცემთა მოთხოვნებს. როგორც ჯანმრთელობის მონიტორინგის მოწყობილობების ბაზრის ლიდერმა, Oura-მ უნდა გააზიაროს, რამდენად ხშირად ითხოვს მთავრობა მომხმარებლების ინფორმაციაზე წვდომას, თუ მას სურს მოიპოვოს ან შეინარჩუნოს მომხმარებლების ნდობა.
დიდი მადლობა „უსაფრთხოების ამ კვირაში“ წაკითხვისთვის. თუ მოგეწონათ ეს სტატია, გთხოვთ, გააზიაროთ! მოგვწერეთ ნებისმიერი გამოხმაურების, შეკითხვის ან კომენტარისთვის ამ სტატიის შესახებ: this@weekinsecurity.com.
გამოიწერეთ ზაკ უიტაკერის ყოველკვირეული კიბერუსაფრთხოების საინფორმაციო ბიულეტენი. ხელით დაწერილი, ყოველგვარი ზედმეტობის გარეშე.
ელფოსტის გახსნის ან ბმულების თვალთვალი არ ხდება. გამოწერის გაუქმება ნებისმიერ დროს შეგიძლიათ.
დისკუსია
0 კომენტარი
ჯერ კომენტარი არ არის — იყავი პირველი.