IoTeX 的 Ucam:您所需的隐私与安全
In this blog, we share how Wyze’s poor handling of user data lead to a wide scale data leak and how the hacks of Ring and Nest cameras happened, as well as how Ucam by IoTeX utilizes blockchain technology to provide the privacy and security that addresses these exploits directly.
随着我们世界的连接越来越紧密,对安全和隐私的需求也前所未有地加大。虽然我们中的许多人都意识到数字数据遭到黑客攻击的问题,但当黑客开始影响我们家庭的身体安全时,问题才真正影响到我们。Ring和Nest的惊人黑客事件以及最近的Wyze数据泄露,已经让消费物联网行业深受震动,正如华盛顿邮报的一篇尖锐文章总结的那样:
“旨在帮助人们入侵网站和设备的软件变得如此易用,以至于几乎成了小孩子的游戏,许多公司,包括Nest,实际上选择让一些黑客逍遥法外。”
这些攻击使无数用户设备和数据暴露于黑客之下,直接是因为对于安全和隐私的关注不够。相比之下,IoTeX相信优先考虑安全和隐私—我们构建了Ucam,以防止这类攻击并给予用户对其数据、身份和隐私的完全控制。
在这篇博客中,我们分享了Wyze对用户数据处理不当导致大规模数据泄露的情况,以及Ring和Nest摄像头如何被攻击,以及IoTeX的Ucam如何利用区块链技术提供直接应对这些漏洞的隐私和安全性。
大规模数据泄露是如何发生的
一个流行的家庭安全摄像头品牌Wyze的大规模用户数据管理不善,使240万用户的敏感数据和帐户信息在2019年12月曝光。后续研究表明,该错误是由于员工疏忽造成的,Cloud管理员未能在将用户数据传输到测试服务器后确保数据安全,以进行消费者行为测试。
Wyze的数据泄露是一个完美的例子,展示了传统商业目标与用户利益之间的直接不一致。进行服务器转移是为了加快商业指标(即私人用户数据)的跟踪和分析速度。更恰当地说,这种泄露之所以可能,是因为Wyze在中心化方式下拥有并持有用户数据,而不是用户拥有(并获授权)数据。事实上,Wyze的数据泄露远比黑客攻击严重。数据泄露源于Wyze服务器的开放后门,而不是聪明的黑客以创造性的方法侵入的安全数据库。
Wyze显然并不是唯一一家以这种方式运营的面向消费者的公司;事实上,这是一种标准操作程序。幸运的是,我们正进入一个新的时代,在这个时代里,可以为消费者提供完全的隐私和良好的用户体验。在IoTeX,我们甚至从一开始就不收集用户数据,因此Wyze灾难在架构上是不可能的。这是IoTeX使命的核心— 向大众市场提供负担得起的、功能性的、以用户为中心的产品,用户可以完全控制他们的数据。
Nest和Ring安全摄像头如何被黑客攻击
设备级黑客最近产生了令人震惊但又相对的头条新闻。这类黑客使黑客可以完全访问设备,允许他们执行设备所有者可以做的所有操作。例如,黑客在华盛顿邮报中提到的臭名昭著的Nest黑客中,通过家庭的Nest摄像头向一个小女孩的房间播放色情视频的声音。吓人吗?是的。侵入性强吗?当然。可以预防吗?绝对可以。
这些黑客攻击是如何产生的?令人惊讶的是,这些并不是非常复杂的攻击,通常源于黑客通过暴力破解或获取之前被泄露的登录信息(即,用户名/密码)。暴力破解攻击听起来就是演示的那样——黑客编写脚本来猜测你的密码 (注意:今天,一个 7位数字母数字密码 可以在2秒内被破解). 密码被泄露的另一种曲折方式是通过用户名/密码组合(即你的“互联网身份”)在网站、应用和设备之间的交叉污染——当一个来源被攻击时,黑客从暗网购买登录数据库,并大规模登录Nest、Ring及其他IoT设备,对毫无防备的人造成破坏。
几乎每个普通的互联网用户至少在一次在线数据泄露中有过一个密码被泄露的经历。通过使用 Mozilla 的这个工具 来查看你是否成为数据泄露的受害者。
针对近期的Nest黑客攻击,谷歌通过指责用户在设置设备时未能使用独特的密码来推卸责任。在IoTeX,我们相信,万亿美元的公司不应指责用户未能妥善保护他们的设备——相反,适当的安全和隐私框架应该内置在IoT设备中。
如何通过 Ucam 使用区块链提供所需的安全和隐私
在最近的头条新闻中,对消费者在IoT设备(特别是家用安防摄像头)中的信任造成了损害,IoTeX决心推出一种全新类别的 “Powered by IoTeX” 设备,这些设备具有增强的安全性,建立在以用户为中心的理念之上,并提供完全的消费者数据所有权和隐私。为此,IoTeX在Ucam的设计中利用了区块链,以满足两个关键目的:
- 安全的区块链身份和登录, 不可被暴力破解,与个人的“互联网身份”分离
- 去中心化的加密密钥发布, 确保用户是唯一可以访问他们的数据、身份和隐私的人
Ucam使用区块链的第一种方式是一键设置创建安全的IoTeX区块链身份(即,公钥/私钥对)。与传统的应用程序/设备登录不同,区块链公钥/私钥是不可能暴力破解的。此外,这对公钥/私钥是与用于登录网站和应用的所有其他用户名/密码组合(“互联网身份”)不同的。这种基于区块链的身份应用是重要的消费者保护措施,将大大减轻上述部分中描述的设备级安全摄像头黑客攻击的主要来源。
注意:安全是一个永无止境的挑战。随着新安全保护措施的实施,黑客总是会创造新的路径来访问我们的设备和数据。我们强烈建议我们的社区利用 最佳实践以防止新出现的密码、网络和社会工程攻击。
Ucam使用区块链的第二种方式是以去中心化的方式向Ucam所有者发布加密密钥。如今,集中化的公司是创建加密密钥的主体,为用户提供一份副本,并为自己保留一份副本。在集中化公司的监督下,对用户数据的管理不善,导致大量敏感个人信息在暗网上暴露。是时候采用我们知道对我们有效而不是对公司的设备了。
有了Ucam,您和只有您是加密密钥的唯一拥有者,并且是唯一可以访问您数据的人 — 不是IoTeX,不是Tenvis,不是云服务提供商,也不是其他任何人!Ucam的去中心化加密密钥发行与其他技术创新相结合,例如内置的边缘计算能力,为用户提供全面的数据隐私和综合功能。
与其他基于云的摄像头不同,所有处理(例如,加密、运动检测、双向音频)都在“边缘”上完成。这消除了使用集中式云存储/计算数据的需要——所有关键计算直接在Ucam设备或用户的手机上执行。因此,由于企业疏忽而成为大规模数据泄露的受害者是完全不可能的。有了Ucam,您完全控制自己的数据、身份和隐私。
有关Ucam的更多细节,请访问 https://iotex.io/ucam.
关于IoTeX
IoTeX成立于2017年,是一个开源平台,正在构建可信事物互联网,其中所有物理和虚拟的“事物”——人类、机器、企业和DApps——可以在全球范围内交换信息和价值。
由30多名顶尖研究科学家和工程师组成的全球团队支持,IoTeX结合区块链、安全硬件和去中心化身份,赋能智能物联网网络和机器经济。通过作为物联网的去中心化信任基础,IoTeX将通过“逐块连接物理世界”来赋能未来的去中心化世界。
主页 | 推特 | Telegram公告 | Telegram群组