Max Weiss was nooit van plan de regering te hacken. Zijn ontdekking van hoe gemakkelijk het is om te doen - geschetst in een nieuw artikel dat hij schreef - kwam met de beste bedoelingen.

Weiss, een regeringsleider uit Cincinnati, deed afgelopen zomer pleitbezorging voor staatsuitbreiding en verdediging van Medicaid, een project dat zijn interesses in openbaar beleid en gezondheidszorg combineerde. Tijdens het bestuderen van de manieren waarop verschillende belangengroepen de hangende wetgeving kunnen beïnvloeden, hij leerde hoe waardevol dergelijke groepen de commentaarperiode van de federale regering vinden, wanneer leden van het publiek worden uitgenodigd om via online formulieren mee te denken over nieuwe of hangende wetgeving. Hij realiseerde zich hoe gemakkelijk het zou zijn om de resultaten te manipuleren met behulp van bots - computerprogramma's die geautomatiseerde reacties genereren - om de sites te overspoelen met nepreacties voor of tegen een voorstel.

De 21-jarige detailleerde zijn bevindingen in een recente Technologie Wetenschap deel, "Deepfake Bot-inzendingen op commentaarwebsites van het federale publiek kunnen niet worden onderscheiden van menselijke inzendingen."

"We hebben veel tijd en energie gestoken in het ontvangen van hoogwaardige opmerkingen van kiezers, " zei Weiss. "Ik wilde ervoor zorgen dat deze federale agentschappen de mogelijke gevolgen van hun beleid begrepen, en ik had het idee dat ik een bot kon gebruiken en veel nepreacties kon indienen."

Hij pauzeerde, erkennend dat het corrupt maken van het proces beladen was:"Dit zou slecht zijn voor de democratie."

Maar de bewoner van Leverett House kon het idee niet van zich afschudden, en hij begon de haalbaarheid van een dergelijk schema te onderzoeken. Het blijkt dat indiening eenvoudig te automatiseren is. Federale agentschappen hebben enige speelruimte om opmerkingen die duidelijk gedupliceerd of irrelevant zijn, buiten beschouwing te laten. Maar de typische technologische verdediging tegen aanvallen, inclusief CAPTCHA'S, onregelmatigheidsdetectie, en externe verificatie - die allemaal zijn geïntegreerd in online activiteiten, van bankieren tot inloggen via e-mail - waren vrijwel afwezig.

"De meeste van die websites hebben eigenlijk alleen een tekstvak voor uw openbare opmerkingen en vervolgens een verzendknop, " hij zei.

Tijdens het schrijven van de technische wetenschap papier, Weiss realiseerde zich dat cybersecurity-experts al jaren alarm slaan over de kwetsbaarheid van federale websites, maar eerdere overtredingen hadden relatief eenvoudige vervangingsmethoden gebruikt. "In 2017, er zijn 22 miljoen reacties geplaatst op het FCC-voorstel om netneutraliteit in te trekken, " herinnerde hij zich. "En het bleek dat 96 procent daarvan deel uitmaakte van dubbele campagnes."

Weiss gebruikte AI-methoden om een ​​groot aantal unieke deepfake-opmerkingen over een voorgestelde vrijstelling van Medicaid te genereren. Vervolgens schreef hij een programma dat het indieningsproces automatiseerde, en voerde het in de loop van een paar dagen vanaf een laptop in zijn slaapzaal. Hij heeft meer dan 1 000 nep-opmerkingen die 55 procent van de totale inzendingen uitmaakten en die volgens de respondenten niet te onderscheiden waren van menselijke opmerkingen. Nadien, hij informeerde de federale Centra voor Medicare en Medicaid Services welke opmerkingen deel uitmaakten van zijn demonstratie om hun inmenging in de authentieke evaluatie van openbare opmerkingen te voorkomen.

Een van de engere onthullingen was Weiss' bekentenis dat hij succesvol was zonder een ervaren codeur en zonder speciale apparatuur. "Ik heb de afgelopen vier jaar leren coderen, gewoon door een reeks persoonlijke projecten en vakantiejobs, en een klas, " zei Wies, die enkele vakken heeft gevolgd in het nieuwe programma in de technologiewetenschap. "Ik denk dat een van de zeer belangrijke bevindingen van het onderzoek is dat iemand zoals ik, die een zeer beginnende codeur is, zich een weg heeft weten te banen door de overheid te hacken.

"Ik ben altijd erg geïnteresseerd geweest in overheidsbeleid, " zei Wies, die ook geniet van het schrijven en uitvoeren van comedy. "Het grootste deel van mijn overheidsstudies was in gezondheidsbeleid of in technologiebeleid of technologie van algemeen belang, dus dit was gewoon een soort synthese van een heleboel verschillende dingen die ik had geleerd op het ministerie van Buitenlandse Zaken en slechts enkele persoonlijke technische projecten die ik in het verleden heb gedaan."

"Max deed baanbrekend werk, precies het soort werk met echte impact dat we onze studenten aanmoedigen om te doen" in de lessen technologiewetenschap, zei Latanya Sweeney, hoogleraar overheid en technologie in residentie en directeur van het Data Privacy Lab bij het Institute for Quantitative Social Science, die fungeert als hoofdredacteur van Technology Science.

"Dankzij het werk van Max, verschillende groepen binnen de federale overheid voeren nu actief veranderingen door om dit soort kwetsbaarheden te bestrijden, " voegde ze eraan toe.

Dit verhaal is gepubliceerd met dank aan de Harvard Gazette, De officiële krant van Harvard University. Voor aanvullend universiteitsnieuws, bezoek Harvard.edu.