Een nieuw type cyberaanval die blockchain-technologie onbruikbaar kan maken, kan een groot probleem worden voor organisaties die ervan afhankelijk zijn.

Bekend als privacy-vergiftiging, " de aanval omvat het laden van privégegevens, zoals namen, adressen en creditcardnummers, of illegaal materiaal, zoals kinderporno, in een blockchain, waardoor het netwerk in strijd is met de lokale wetgeving. Het resultaat is dat de betrokken keten met alle daarin aanwezige data niet kan worden gebruikt, tenzij er dure en tijdrovende stappen worden ondernomen.

Blockchain is een digitaal grootboek van transacties dat wordt uitgevoerd op een netwerk van computers zonder gecentraliseerde bestuurs- of regelgevende autoriteit. Het wordt gerund door degenen die het gebruiken. De technologie wordt steeds meer onderzocht door banken en financiële dienstverleners, overheden en startende bedrijven vanwege het potentieel om de effectiviteit van betalingssystemen te verbeteren en tegelijkertijd de kosten te verlagen.

Een factor in de opkomst van blockchain-vergiftiging is de introductie van strenge gegevensprivacywetten zoals de Algemene Verordening Gegevensbescherming van de Europese Unie, of AVG, en de California Consumer Privacy Act, of CCPA. Beide stellen consumenten in staat om te verzoeken dat persoonlijke gegevens die in het bezit zijn van een bedrijf worden verwijderd of gewist.

Dit is een probleem voor blockchain-systemen omdat ze zijn ontworpen om wijzigingen in eerdere transacties te voorkomen, en er is geen centrale autoriteit belast met het corrigeren van problemen. Zogenaamde openbare blockchains, zoals die welke ten grondslag liggen aan cryptocurrencies zoals bitcoin en ether, lopen het grootste risico omdat iedereen kan deelnemen. Deelnemers aan private blockchains moeten worden uitgenodigd en gevalideerd door de netwerkstarter.

Bart Willemsen, een analist bij onderzoeksbureau Gartner Inc., zei dat de een-tweetje van privacyvergiftiging en privacywetten openbare blockchains bijzonder hard zal treffen.

Willemsen schatte dat in 2022, drie van de vier openbare blockchains zullen te maken krijgen met privacyvergiftiging - ingevoegde persoonlijke gegevens waardoor de blockchain niet meer voldoet aan de privacywetten. Bedrijven die de technologie willen implementeren, moeten bepalen of de gegevens die worden gebruikt onder de privacywetgeving vallen, zei hij in een interview.

Onder de AVG, individuele privacyrechten omvatten het "recht om te worden vergeten, ", wat betekent dat alle persoonlijke gegevens die in het openbaar verschijnen, zouden moeten worden verwijderd.

"Organisaties die blockchain-systemen implementeren zonder privacykwesties door het ontwerp te beheren, lopen het risico persoonlijke gegevens op te slaan die niet kunnen worden verwijderd zonder de integriteit van de keten in gevaar te brengen. " volgens een Gartner-rapport.

Willemsen haalde een verhaal aan, waarvan hij toegaf dat het apocrief kan zijn, van een bijeenkomst van de Europese Commissie waar een deelnemer een pizza in bitcoin betaalde en de ontvangers het grappig vonden om het moment te vereeuwigen door hun namen in tekstvelden te zetten die in de bitcoin blockchain kunnen worden geschreven.

"Je zou inderdaad altijd herinnerd worden, en daar zit precies het probleem, ' zei Willemsen.

Deze tekstvelden in openbare blockchains zijn onuitwisbaar. Willemsen merkte op dat wat persoonlijke informatie is, veel dingen omvat, van namen tot unieke referenties die herleidbaar zijn tot een individu.

Willemsen zei dat Gartner-klanten soortgelijke problemen hebben gehad, hoewel hij weigerde de omstandigheden te bespreken, onder vermelding van vertrouwelijkheidsovereenkomsten.

Onuitwisbaar versus uitwisbaar Naast de Californische wet, soortgelijke wetgeving, met sterke bescherming van de privacy van de consument, is in behandeling in New York, New Jersey en Washington.

Bedrijven die blockchain als veilige oplossing willen gebruiken, willen misschien heroverwegen, zei Jenny Leung, een advocaat bij Blakemore, Vallen op, Garcia, Rosini &Russo in New York.

Ze merkte op dat op 1 januari 2020, de CCPA zal Californische consumenten het "recht op uitwissing" geven, wat vergelijkbaar is met het recht van de AVG om vergeten te worden, in dat het mensen in staat stelt om bedrijven te verzoeken om alle persoonlijke gegevens die ze hebben opgeslagen te verwijderen. Maar informatie die is opgeslagen op een blockchain kan niet worden gewist, die bedrijven in de problemen kunnen brengen met de wet als ze de op blockchain gebaseerde service hebben gelanceerd of georganiseerd, ze zei.

De enige manier om de gegevens te verwijderen, is mogelijk via een uitgebreid "reforking"-proces, die het hele netwerk naar een nieuwe set gegevens verplaatst en de oude set ongeldig maakt.

Private blockchains zijn iets beter bestand tegen privacyvergiftiging, hoewel het kan voorkomen. In die gevallen, alle bedrijven die nog steeds verbonden zijn met het grootboek, kunnen alle deelnemers dwingen om mee te doen aan een "hard fork" om de gewraakte gegevens te wissen. Of privé-blockchains kunnen ze allemaal dwingen te stoppen met werken of alle kopieën van privésleutels te vernietigen om de versleutelde gegevens permanent ontoegankelijk te maken, zei Leung.

Dit proces wordt te duur en ingewikkeld voor openbare blockchains, ze zei. Het kan honderden miljoenen dollars kosten om genoeg apparatuur voor cryptomining te huren om het netwerk te veranderen of een hard fork te orkestreren door de meerderheid ervan te overtuigen over te stappen op een nieuwe keten die de getroffen gegevens niet bevat.

"Het is niet iets dat je elke keer wilt doen als je iets wilt verwijderen, "Zei Leung. "Het is duur en tijdrovend."

Naast kwaadaardige aanvallen, Willemsen merkte op dat veel gevallen hoogstwaarschijnlijk worden veroorzaakt door menselijke fouten en een slecht procesontwerp. Het maakt onder de AVG niet uit of een blockchain persoonsgegevens op een onschuldige manier heeft blootgelegd door een fout, hij zei.

Zodra privacyvergiftiging meer wijdverbreid is, Willemsen zei te verwachten dat er verschillende dingen zullen gebeuren. De eerste is dat mensen privacypraktijken op dezelfde manier blijven negeren als bij andere vormen van cyberbeveiliging. Geautomatiseerde hacktools kunnen uit bepaalde online gemeenschappen tevoorschijn komen om zich te richten op blootgestelde openbare blockchains of om de systemen van concurrenten onbruikbaar te maken, hij zei.

Bedrijven die geïnteresseerd zijn in het gebruik van een grootboek, kunnen kiezen voor private blockchains, zei Randi Eitzman, senior dreigingsanalist bij FireEye iSIGHT Intelligence, een onderzoeks- en analysedienst voor cyberbeveiligingsbedreigingen.

Blockchains zijn uiteindelijk "slechts dure gecentraliseerde gegevensopslag, "Zei Eitzman in een antwoord per e-mail op vragen. "Bedrijven die op zoek zijn naar veilige gegevensopslag, kunnen deze niet gebruiken, afhankelijk van hun kosten-batenanalyse, but a simple solution would be to avoid storing any sensitive customer information on a blockchain."

Regarding attacks on public blockchains, Eitzman noted that easy-to-use tools that allow anyone to write and store data on-chain, such as Bitstagram, a mobile application that lets users upload their smartphone photos to a blockchain, already exist. With such tools, it wouldn't take much for someone to upload illegal content, ze zei.

"The benefit of a public ledger is that all transactions are easily viewable and can be tracked, " she said. "Anyone who stores sensitive or illegal content on-chain is doing so at their own risk."

©2019 CQ-Roll Call, Inc., Alle rechten voorbehouden
Gedistribueerd door Tribune Content Agency, LLC.