Глобальная утечка информации P3 ударила по борьбе с преступностью и школам. Проблема не только в масштабе, но и в самой модели доверия.
Сегодня лозунг «анонимный репортаж» звучит как обещание совсем другой эпохи. Когда миллионы отчетов были переданы из системы P3 Global Intel в полицию, школы и в отделы по борьбе с преступностью, дело быстро превратилось в нечто большее, чем просто очередной инцидент, связанный с безопасностью. На кону здесь не только удобство использования приложения или репутация провайдера, но, главным образом, подорванное доверие людей, которые считали, что действительно растворяются в толпе.
В системах, продающих анонимность, дороже всего не сама утечка, а потеря доверия к системам, обеспечивающим секретность.
FedRAMP санкционировал правительственное облако Microsoft не потому, что оно безопасно, а потому, что никто больше не мог его отключить.
Масштаб этой истории невозможно игнорировать. По сообщениям Ars Technica и Reuters, хакер, действующий под псевдонимом Internet Yiff Machine, утверждает, что украл 93 ГБ данных у P3 Global Intel, компании, принадлежащей Navigate360. Речь идет о более чем 8,3 миллионах записей за 1987–2025 годы, причем не только о отчетах полиции, но и об отчетах из школ и программ Crime Stoppers. Полицейское управление Портленда уже рекомендовало временно приостановить подачу сообщений через эту платформу, что на практике звучит как тихий сигнал тревоги о том, что даже без полного подтверждения ни один разумный человек сегодня не хочет клеймить безопасность здесь своим собственным логотипом.
Хакеры могут получить полный контроль над вашим сервером с помощью дешевого аксессуара. Уровень уязвимостей CVSS вызывает тревогу
Для пользователя смысл этого скандала предельно прост. Если система, рекламируемая как анонимная, может стать источником данных о сообщающих информацию и лицах, о которых сообщается, весь трастовый контракт разваливается изнутри. По сравнению с решениями, разработанными для защиты источников, такими как SecureDrop, модель P3 больше похожа на удобную операционную платформу для учреждений, чем на инструмент, предназначенный для минимизации метаданных. И здесь возвращается мотив, хорошо известный читателям по текстам об инциденте с Mixpanel/OpenAI или утечке с Sky-Shop.pl, а именно: клиент покупает услугу, но наследует и чужие ошибки. В долгосрочной перспективе этот случай может привести к изменению языка всей отрасли. Меньше маркетинга об анонимности, больше вопросов о журналах, хранении данных, архитектуре и о том, кто на самом деле владеет ключами от системы.
Источник: Полицейское управление Портленда, Reuters, Malwarebytes, Ars Technica, Navigate360.
