Um novo tipo de ataque cibernético que pode tornar a tecnologia blockchain inutilizável pode se tornar uma grande dor de cabeça para as organizações que dependem dela.

Conhecido como "envenenamento da privacidade", "o ataque envolve o carregamento de dados privados, como nomes, endereços e números de cartão de crédito, ou material ilegal, como pornografia infantil, em um blockchain, portanto, colocando a rede em conflito com as leis locais. O resultado é que a cadeia afetada com todos os seus dados contidos não pode ser usada, a menos que etapas caras e demoradas sejam tomadas.

O Blockchain é um livro-razão digital de transações executado em uma rede de computadores sem autoridade governamental ou reguladora centralizada. É administrado por aqueles que o usam. A tecnologia está cada vez mais sendo explorada por bancos e empresas de serviços financeiros, governos e empresas iniciantes por seu potencial de melhorar a eficácia dos sistemas de pagamento e, ao mesmo tempo, cortar custos.

Um fator no aumento do envenenamento por blockchain é a introdução de fortes leis de privacidade de dados, como o Regulamento Geral de Proteção de Dados da União Europeia, ou GDPR, e a Lei de Privacidade do Consumidor da Califórnia, ou CCPA. Ambos permitem que os consumidores solicitem que os dados pessoais mantidos por uma empresa sejam excluídos ou apagados.

Este é um problema para os sistemas blockchain porque eles são projetados para evitar mudanças em transações anteriores, e não existe uma autoridade central encarregada de corrigir os problemas. Os chamados blockchains públicos, como aqueles que sustentam as criptomoedas, como bitcoin e ether, correm maior risco porque qualquer pessoa pode participar. Os participantes de blockchains privados devem ser convidados e validados pelo iniciador da rede.

Bart Willemsen, analista da empresa de pesquisa Gartner Inc., disse que o golpe duplo do envenenamento da privacidade e das leis de privacidade afetará as cadeias de bloqueio públicas de maneira especialmente forte.

Willemsen estimou que até 2022, três em cada quatro blockchains públicos sofrerão envenenamento de privacidade - dados pessoais inseridos que tornam o blockchain não compatível com as leis de privacidade. As empresas que desejam implementar a tecnologia devem determinar se algum dos dados usados ​​se enquadra nas leis de privacidade, ele disse em uma entrevista.

No GDPR, direitos de privacidade individuais incluem o "direito de ser esquecido, "o que significa que quaisquer dados pessoais que apareçam publicamente teriam que ser excluídos.

"As organizações que implementam sistemas de blockchain sem gerenciar problemas de privacidade por design correrão o risco de armazenar dados pessoais que não podem ser excluídos sem comprometer a integridade da cadeia, "de acordo com um relatório do Gartner.

Willemsen citou uma história, que ele admitiu ser apócrifo, de uma reunião da Comissão Europeia em que um participante pagou por uma pizza em bitcoin e os destinatários acharam que seria engraçado imortalizar o momento colocando seus nomes em campos de texto que podem ser escritos no blockchain do bitcoin.

"Você realmente seria sempre lembrado, e é exatamente aí que está o problema, "Willemsen disse.

Esses campos de texto em blockchains públicos são indeléveis. Willemsen observou que o que constitui informações pessoais abrange muitas coisas, de nomes a referências exclusivas que podem ser rastreadas até um indivíduo.

Willemsen disse que os clientes do Gartner tiveram problemas semelhantes, embora ele se recusou a discutir as circunstâncias, citando acordos de confidencialidade.

Indelével vs. apagável; Além da lei da Califórnia, legislação semelhante, com fortes proteções de privacidade do consumidor, está pendente em Nova York, New Jersey e Washington.

As empresas que buscam usar o blockchain como uma solução segura podem querer repensar, disse Jenny Leung, um advogado com Blakemore, Cair sobre, Garcia, Rosini &Russo em Nova York.

Ela observou que em 1º de janeiro, 2020, o CCPA dará aos consumidores da Califórnia o "direito de apagar", que é semelhante ao direito do GDPR de ser esquecido, na medida em que permite que as pessoas solicitem às empresas a exclusão de quaisquer dados pessoais que tenham armazenado. Mas as informações armazenadas em um blockchain não podem ser apagadas, o que pode colocar as empresas em apuros com a lei se elas lançaram ou organizaram o serviço baseado em blockchain, ela disse.

A única maneira de excluir os dados pode ser por meio de um elaborado processo de "reformulação", que move toda a rede para um novo conjunto de dados e invalida o antigo conjunto.

Os blockchains privados são um pouco mais resistentes ao envenenamento da privacidade, embora possa ocorrer. Nesses casos, qualquer empresa que ainda esteja conectada ao razão pode forçar todos os participantes a se juntarem em uma "bifurcação" para apagar os dados ofensivos. Ou blockchains privados podem forçar todos eles a parar de operar ou destruir todas as cópias de chaves privadas para tornar os dados criptografados permanentemente inacessíveis, Leung disse.

Este processo se torna muito caro e complicado para blockchains públicos, ela disse. Pode levar centenas de milhões de dólares para alugar equipamento de mineração de criptografia suficiente para alterar a rede ou orquestrar uma bifurcação ao convencer a maioria a mudar para uma nova cadeia que não contenha os dados afetados.

"Não é algo que você deseja fazer toda vez que deseja excluir algo, "Leung disse." É caro e demorado. "

Além de ataques maliciosos, Willemsen observou que muitos casos provavelmente serão causados ​​por erro humano e projeto de processo incorreto. Não importa no GDPR se um blockchain expôs dados pessoais inocentemente por meio de um erro, ele disse.

Assim que o envenenamento da privacidade se tornar mais generalizado, Willemsen disse que espera que várias coisas aconteçam. A primeira é que as pessoas continuarão a ignorar as práticas de privacidade da mesma forma que fazem com outros tipos de segurança cibernética. Ferramentas de hacking automatizadas podem surgir de certas comunidades online para direcionar blockchains públicos expostos ou para tornar os sistemas dos concorrentes inúteis, ele disse.

As empresas interessadas em usar um livro-razão público podem optar por blockchains privados, disse Randi Eitzman, analista sênior de busca de ameaças com FireEye iSIGHT Intelligence, um serviço de pesquisa e análise de ameaças à segurança cibernética.

Os blockchains são, em última análise, "apenas armazenamento de dados centralizado caro, "Eitzman disse em uma resposta por e-mail às perguntas." As empresas que procuram armazenamento seguro de dados podem evitar usá-los, dependendo de sua análise de custo-benefício, but a simple solution would be to avoid storing any sensitive customer information on a blockchain."

Regarding attacks on public blockchains, Eitzman noted that easy-to-use tools that allow anyone to write and store data on-chain, such as Bitstagram, a mobile application that lets users upload their smartphone photos to a blockchain, already exist. With such tools, it wouldn't take much for someone to upload illegal content, ela disse.

"The benefit of a public ledger is that all transactions are easily viewable and can be tracked, " she said. "Anyone who stores sensitive or illegal content on-chain is doing so at their own risk."

©2019 CQ-Roll Call, Inc., All Rights Reserved
Distribuído pela Tribune Content Agency, LLC.