ยอดเข้าชม: 27 ครั้ง
(Image credit: Westend61)
(Image credit: Future)
นักวิจัยเผย Persona รันการยืนยัน 269 ครั้ง — โค้ดที่เปิดเผยชี้การสกรีนครอบคลุม terrorism ถึง espionage
Frontend ของ Persona ถูกเปิดเผยบนเซิร์ฟเวอร์ FedRAMP — โค้ด 2,456 ไฟล์ และการสกรีนครอบคลุมการก่อการร้ายจนถึงการจารกรรม
นักวิจัยพบข้อมูลโค้ด Persona ที่เปิดเผย ชี้การยืนยันตัวตนมีการตรวจสอบถึง 269 รายการ
ทีมนักวิจัยด้านความปลอดภัยรายงานว่าเจอ Persona frontend ที่เปิดสู่สาธารณะบนเซิร์ฟเวอร์ที่ได้รับการอนุญาตตามมาตรฐาน FedRAMP ของรัฐบาลสหรัฐฯ โดยมี source maps ขนาดประมาณ 53MB และไฟล์โค้ด TypeScript ราว 2,456 ไฟล์ ซึ่งเปิดเผยโครงสร้างของแพลตฟอร์มการยืนยันตัวตนอย่างละเอียด
รายละเอียดที่นักวิจัยพบ
จากบล็อกของทีมวิจัยระบุว่าโค้ดที่หลุดออกมาชี้ว่าโปรแกรมการยืนยันตัวตนของ Persona ทำการตรวจสอบทั้งหมด 269 individual verification checks แบ่งเป็น 14 ประเภทการสกรีน หนึ่งในชื่อฟังก์ชันที่ปรากฏคือ SelfieSuspiciousEntityDetection ซึ่งนำนักวิจัยตั้งคำถามว่า "หน้าตาแบบไหนจึงถูกมองว่า suspicious" เพราะไม่มีคำชี้แจงชัดเจนในโค้ดหรือแจ้งให้ผู้ใช้ทราบ
โค้ดยังบอกด้วยว่าแพลตฟอร์มนี้สามารถส่ง Suspicious Activity Reports ไปยังหน่วยงานเช่น FinCEN และมีการเทียบภาพ selfie ของผู้ใช้กับภาพใน watchlist ผ่านระบบจดจำใบหน้า อีกทั้งสกรีนข่าวลบหรือสื่อ "adverse media" ถึง 14 หมวดหมู่ ตั้งแต่ terrorism ไปจนถึง espionage
ความเชื่อมโยงกับ Discord และข้อกังวลด้านความเป็นส่วนตัว
ก่อนหน้านี้ Discord แจ้งว่ามีการทดสอบ age verification บางส่วนในสหราชอาณาจักรร่วมกับผู้ให้บริการอย่าง Persona และบอกว่าการทดสอบดังกล่าวเป็น "limited test" ที่ได้สิ้นสุดลงแล้ว อย่างไรก็ตามการค้นพบ frontend ที่เปิดเผยเพิ่มความกังวลเรื่องการจัดเก็บและการใช้งานข้อมูลใบหน้า รวมถึงใครสามารถเข้าถึงข้อมูลเหล่านี้ได้
นอกจากนี้ยังมีความสนใจเรื่องนักลงทุนของ Persona ซึ่งรอบการระดมทุนล่าสุดมีความเชื่อมโยงกับกองทุนที่ Peter Thiel มีส่วนก่อตั้งและเป็นผู้อำนวยการข้อกังวลเรื่องความสัมพันธ์ระหว่างผู้ให้บริการยืนยันตัวตนกับบริษัทด้านการเฝ้าระวังหรือหน่วยงานรัฐถูกหยิบยกขึ้นมา
สรุปผลและความเสี่ยง
เหตุการณ์นี้เป็นตัวอย่างที่เตือนว่าการยืนยันตัวตนอัตโนมัติที่อาศัยการจดจำใบหน้าและการสกรีนเชิงลึกอาจสร้างข้อมูลเชิงลึกจำนวนมากเกินความจำเป็นสำหรับการตรวจอายุ ความเสี่ยงทั้งจากการรั่วไหลของโค้ดและการนำข้อมูลไปใช้ต่อยังเพิ่มแรงกดดันให้ผู้ใช้อยู่ในความระมัดระวังเมื่อมอบข้อมูลส่วนตัว โดยเฉพาะภาพใบหน้า
ทีมวิจัยระบุว่าการค้นพบครั้งนี้เริ่มจากการสำรวจแบบ passive recon แต่กลับพบโครงสร้างที่เปิดเผยอย่างชัดเจนโดยไม่ต้องสั่งโจมตีใดๆ ขณะที่ความชัดเจนว่าการรั่วไหลนี้เกี่ยวข้องกับการทดสอบของ Discord มากน้อยแค่ไหนยังไม่แน่ชัด แต่เรื่องความเป็นส่วนตัวของวิธีการยืนยันตัวตนดิจิทัลยังเป็นประเด็นที่ต้องจับตาต่อไป
ฝากร้านขายเกม Steam ทั้งไอดีมือ 1 มือ 2 และ CD-Key ไว้หน่อยนะครับผม สนใจเลือกดูสินค้า คลิ๊ก 499K Network
รีวิวจากผู้ใช้จริง
รีวิวทั้งหมด: (/0)
ดูรีวิวทั้งหมด
กำลังฮิตในตอนนี้
Resident Evil Requiem Deluxe Edition (ไอดี 9)
ไอดี Offline Steam
฿2190.00
฿95.00
Project Zomboid
ไอดีมือ 1 Steam
฿400.00
฿60.00
(ไม่ติดคิว) Resident Evil Requiem Deluxe Edition (ไอดี 8)
ไอดี Offline Steam
฿2190.00
฿150.00
The Married Woman Nextdoor - Creampie SEX Beside Her Husband
ไอดี Offline Steam
฿220.00
฿30.00
[มี DLC] Resident Evil 4 Gold Edition
ไอดี Offline Steam
฿1350.00
฿80.00
Project Zomboid
Key / Gift Steam
฿400.00
฿260.00
[DLC ครบ] Black Myth: Wukong Digital Deluxe Edition
ไอดี Offline Steam
฿2159.00
฿70.00
Minecraft: Java & Bedrock Edition for PC Windows Account
ไอดีมือ 1 MS Store (PC)
฿990.00
฿475.00
ARK: Survival Evolved
ไอดีมือ 1 Steam
฿315.00
฿70.00
Dead by Daylight
ไอดีมือ 1 Steam
฿399.00
฿170.00
ข่าวสารจากทางร้าน
ดูรายละเอียด
Luxtorpeda v76 ติดตั้ง MGSHDFix / MGSM2Fix ให้ Metal Gear บน Linux อัตโนมัติ
Steam Horse Fest เริ่มแล้ว — ดีลเกมม้าและเกมสัตว์ลดราคา ถึง 23 ก.พ.
