Μια πρόσφατη αποκάλυψη από την εταιρεία κυβερνοασφάλειας Suzu Labs φέρνει στο φως σοβαρά ζητήματα σχετικά με την προστασία προσωπικών δεδομένων που συνδέονται με τα έξυπνα γυαλιά της Meta.
Η έρευνα αποκαλύπτει ότι η Sama, εξωτερικός συνεργάτης που αναλαμβάνει την ανάλυση βίντεο από τις συσκευές, υπέστη σημαντική διαρροή εταιρικών διαπιστευτηρίων. Σύμφωνα με τα ευρήματα, εντοπίστηκαν 118 καταχωρήσεις διαπιστευτηρίων (credentials) που σχετίζονται με το εταιρικό domain της Sama σε φόρουμ του σκοτεινού ιστού και σε κανάλια Telegram. Η διαρροή περιλάμβανε δεκάδες μοναδικά email και κωδικούς πρόσβασης σε απλή μορφή (plain text), γεγονός που υποδεικνύει σοβαρές αδυναμίες στις πρακτικές ασφάλειας.
Ιδιαίτερα ανησυχητικό είναι το γεγονός ότι το 88% των κωδικών δεν πληρούσε βασικά κριτήρια ασφάλειας. Πολλοί ήταν μικρότεροι από οκτώ χαρακτήρες ή αποτελούνταν αποκλειστικά από αριθμούς, καθιστώντας τους εξαιρετικά ευάλωτους σε επιθέσεις.
Το περιστατικό αποκτά μεγαλύτερη βαρύτητα λόγω της φύσης των δεδομένων που επεξεργάζεται η Sama. Ανθρώπινοι αξιολογητές εξετάζουν βίντεο που καταγράφονται από smart glasses, τα οποία σε ορισμένες περιπτώσεις περιλαμβάνουν προσωπικές ή ιδιωτικές στιγμές χρηστών. Αυτό σημαίνει ότι μια παραβίαση σε επίπεδο εργαζομένου μπορεί να εκθέσει ολόκληρη τη ροή δεδομένων.
Η πηγή της διαρροής φαίνεται να σχετίζεται με κακόβουλο λογισμικό τύπου “information stealer”, το οποίο συλλέγει στοιχεία σύνδεσης από μολυσμένες συσκευές. Αν ένας εργαζόμενος χρησιμοποιεί έναν τέτοιο υπολογιστή για πρόσβαση σε εσωτερικά συστήματα, τότε η πρόσβαση σε ευαίσθητα δεδομένα γίνεται εφικτή για επιτιθέμενους.
Ειδικοί στον τομέα της κυβερνοασφάλειας τονίζουν ότι η διαχείριση κινδύνου τρίτων συνεργατών αποτελεί κρίσιμο παράγοντα. Όταν μια εταιρεία αναθέτει την επεξεργασία ευαίσθητων δεδομένων σε εξωτερικούς συνεργάτες, η ασφάλεια αυτών των συνεργατών επηρεάζει άμεσα τη συνολική ασφάλεια της ίδιας της εταιρείας.
Η Meta έχει δηλώσει στο παρελθόν ότι χρησιμοποιεί εργολάβους για τη βελτίωση των υπηρεσιών τεχνητής νοημοσύνης, εφαρμόζοντας παράλληλα μέτρα όπως η θόλωση προσώπων για την προστασία της ιδιωτικότητας. Ωστόσο, η συγκεκριμένη διαρροή αναδεικνύει ότι ο ανθρώπινος παράγοντας παραμένει ένα από τα πιο ευάλωτα σημεία της αλυσίδας.
Οι ειδικοί προτείνουν την υιοθέτηση αυστηρότερων μέτρων, όπως την πολυπαραγοντική αυθεντικοποίηση (MFA) και τη συνεχή παρακολούθηση συσκευών, ώστε να περιοριστούν οι επιθέσεις και η κατάχρηση διαπιστευτηρίων.
