Rò rỉ sinh trắc học hàng loạt phơi bày những nguy hiểm của danh tính tập trung: Đồng sáng lập Human.tech Shady El Da...

Một vụ rò rỉ hàng loạt gần đây của hồ sơ sinh trắc học và danh tính quốc gia ở Pakistan đã làm nổi bật một vấn đề mà nhiều nhà công nghệ đã cảnh báo trong nhiều năm: khi danh tính trở nên tập trung, một vụ vi phạm duy nhất trở thành một thất bại hệ thống. Hàng triệu người, từ những người phụ thuộc vào giấy tờ tùy thân cho ngân hàng và lợi ích đến những người có nguy cơ bị quấy rối hoặc giám sát cao hơn, đột nhiên phải đối mặt với một chuỗi tổn hại bắt đầu từ gian lận và có thể kết thúc bằng sự xói mòn niềm tin lâu dài. Trong bối cảnh này, câu hỏi không còn là liệu một vụ vi phạm có xảy ra hay không mà là các xã hội có thể thiết kế các hệ thống danh tính như thế nào để tồn tại khi chúng xảy ra.

Chúng tôi đã nói chuyện với Shady El Damaty, đồng sáng lập và Giám đốc điều hành của human.tech, về những hậu quả con người và kỹ thuật của những vụ rò rỉ này và những lựa chọn thực tiễn trông như thế nào. El Damaty nêu rõ vấn đề một cách thẳng thắn: nhiều người trên toàn thế giới hoặc không có bất kỳ giấy tờ xác thực nào đáng tin cậy hoặc bị mắc kẹt trong các hệ thống mà chính phủ và các tập đoàn nắm giữ khối lượng lớn dữ liệu nhạy cảm có thể, và đã, bị rò rỉ.

“Sinh trắc học là thiêng liêng,” ông nói, lập luận rằng dấu vân tay và quét khuôn mặt phải được giữ càng gần với người đó càng tốt, không bao giờ bị tích trữ trong các kho trung tâm thu hút kẻ tấn công. Trong suốt cuộc trò chuyện, ông trình bày cả các bước phân loại ngay lập tức và một lộ trình dài hạn dựa trên mật mã, phân quyền và quản trị đa bên.

Q1. Vui lòng mô tả ngắn gọn vai trò của bạn tại human.tech và vấn đề cốt lõi mà dự án đang cố gắng giải quyết.

Tôi là đồng sáng lập và CEO của human.tech by Holonym, và vấn đề cốt lõi mà chúng tôi đang giải quyết rất đơn giản, một số lượng lớn người trên thế giới hoặc không có giấy tờ tùy thân hoặc họ đã mất chúng vì họ bị di dời hoặc không có quốc tịch, và nếu không có cách nào để chứng minh an toàn danh tính của họ, họ không thể tiếp cận các dịch vụ cơ bản nhất hoặc viện trợ nhân đạo.

Trong khi đó, những người còn lại trong chúng ta đang mắc kẹt trong các hệ thống mà danh tính được kiểm soát bởi các chính phủ hoặc tập đoàn, những nơi rò rỉ dữ liệu và sử dụng nó để theo dõi con người, và mô hình đó đang nhanh chóng sụp đổ. Với việc deepfake và bot tràn ngập internet, ngày càng khó để phân biệt ai là người thật, vì vậy những gì chúng tôi đang xây dựng là một cách bảo vệ quyền riêng tư để con người chứng minh danh tính của họ trực tuyến mà không phải giao quyền kiểm soát danh tính của họ cho các tổ chức tập trung không có lợi ích tốt nhất của họ.

Q2. Vụ vi phạm gần đây ở Pakistan đã lộ ra hàng triệu hồ sơ sinh trắc học và danh tính quốc gia. Theo quan điểm của bạn, những rủi ro ngay lập tức và lâu dài lớn nhất từ một vụ rò rỉ quy mô này là gì?

Rủi ro ngay lập tức rất con người; khi dấu vân tay và danh tính quốc gia của bạn đang lan truyền trên web đen, bạn sẽ đột nhiên dễ bị tổn thương hơn trước các trò lừa đảo có mục tiêu, quấy rối, gian lận tài chính, hoán đổi SIM, và trong một số trường hợp, thậm chí là tổn hại về thể xác. Nếu các tác nhân độc hại liên kết dữ liệu đó với nơi bạn sống hoặc ai là gia đình bạn, và đây không phải là một khả năng trừu tượng, mà là thực tế mà hàng triệu người đang sống ngay bây giờ.

Rủi ro lâu dài là những rò rỉ này không chỉ biến mất, chúng tích lũy giữa các rò rỉ của chính phủ và doanh nghiệp, và tất cả những dữ liệu đó cuối cùng sẽ được đưa vào các mô hình học máy đang đào tạo các hệ thống sẽ quyết định liệu bạn có thể nhận được khoản vay, chi phí của phí bảo hiểm y tế của bạn, liệu bạn có phải là một người thật hay một bot..

Khi deepfake trở nên không thể phân biệt được với thực tế, chúng ta có nguy cơ bước vào một tương lai mà con người không thể chứng minh được nhân tính của chính mình nữa, điều này nghe có vẻ dystopian, nhưng chúng ta đã chứng kiến những dấu hiệu ban đầu rồi, và nó không chỉ liên quan đến gian lận quy mô lớn, mà còn về việc xói mòn cấu trúc cơ bản của niềm tin mà xã hội dựa vào.

Q3. Sinh trắc học thường được coi là bất biến: “bạn không thể thay đổi dấu vân tay.” Từ quan điểm mô hình mối đe dọa kỹ thuật, các nhà thiết kế nên xử lý dữ liệu sinh trắc học khác đi như thế nào để giảm thiểu rủi ro lâu dài cho người dùng?

Sinh trắc học là thiêng liêng. Chúng là những ước lượng về sự hiện hữu vật lý của bạn và có thể bị lạm dụng nếu rơi vào tay sai. Chúng không thể bị quay vòng, và có thể được sử dụng để tạo ra các định danh vĩnh viễn vì bạn không thể thay đổi chúng như bạn làm với một mật khẩu. Cách để bảo vệ chúng là giữ sinh trắc học càng gần người dùng càng tốt. Chúng không bao giờ nên được lưu trữ dưới dạng văn bản rõ trên bất kỳ máy chủ bên thứ ba nào.

Chúng chỉ nên được giữ ở những nơi hoàn toàn dưới sự kiểm soát của người dùng. Thật đáng buồn, thực tiễn tiêu chuẩn hiện tại là lưu trữ thông tin sinh trắc học trong các kho dữ liệu trung tâm về dấu vân tay hoặc dữ liệu khuôn mặt mà sẽ không tránh khỏi việc bị rò rỉ. Điều này không cần phải xảy ra ngày nay. Các tiến bộ như chứng minh không kiến thức và tính toán đa bên cho phép bạn mở khóa một thông tin xác thực mà không cần lưu trữ hoặc truyền tải sinh trắc học. Cần phải nhấn mạnh việc thiết kế cho sự không thể tránh khỏi của các vụ vi phạm để ngay cả khi hạ tầng bị xâm phạm, sinh trắc học của cá nhân cũng không thể bị tái sử dụng chống lại họ.

Q4. Những thất bại về kiến trúc hoặc hoạt động nào khiến các hệ thống ID quốc gia tập trung đặc biệt dễ bị tổn thương trước những vi phạm thảm khốc?

Sự tập trung hóa tập trung cả mật và gấu, tạo ra một điểm duy nhất mà kẻ tấn công có thể nhắm vào và một tổ chức duy nhất có thể quyết định ai được vào và ai bị loại ra. Sự kết hợp này là rất nguy hiểm vì nó có nghĩa là cả vi phạm hàng loạt và loại trừ hàng loạt luôn chỉ cách một quyết định hoặc một lỗ hổng.

Q5. Làm thế nào mà các chứng minh không biết (zero-knowledge proofs) hoặc các kỹ thuật mật mã hiện đại khác có thể giảm thiểu tổn hại khi các hệ thống danh tính bị xâm phạm, giải thích đơn giản cho khán giả chung?

Bằng chứng không kiến thức cho phép bạn chứng minh điều gì đó về bản thân mà không tiết lộ dữ liệu cơ bản, vì vậy, ví dụ, bạn có thể chứng minh bạn đã trên 18 tuổi mà không cần cung cấp ngày sinh của mình. Chúng tôi sử dụng loại mã hóa này trong Human Passport để bạn có thể chứng minh bạn là một con người duy nhất mà không cần đưa ra quét khuôn mặt hoặc ID quốc gia của bạn, và điều kỳ diệu của điều này là nếu một cơ sở dữ liệu bị xâm phạm, sẽ không có một kho lưu trữ nào của các dữ liệu sinh trắc học để đánh cắp, vì không có gì nhạy cảm được lưu trữ ngay từ đầu.

Q6. Đối với các hệ thống tài chính và việc tiếp nhận thanh toán, các biện pháp phòng ngừa nào mà các ngân hàng và nhà cung cấp thanh toán nên ưu tiên để ngăn chặn những kẻ lừa đảo tấn công nhanh hơn khả năng xác minh của con người?

Họ cần ngừng giả vờ rằng việc gia tăng giám sát sẽ cứu họ. Điều sẽ cứu họ là việc áp dụng các phương pháp xác minh ưu tiên quyền riêng tư mà vẫn thiết lập tính độc đáo và nhân tính, và điều đó có nghĩa là áp dụng các kỹ thuật mật mã có thể mở rộng nhanh như những kẻ lừa đảo. Con người sẽ không bao giờ có thể nhấp "chấp thuận" nhanh như một bot có thể tạo ra mười nghìn danh tính giả, nhưng các giao thức thì có thể.

Q7. Mô hình danh tính phi tập trung có thực tiễn ở quy mô quốc gia hay bạn thấy các phương pháp lai là con đường thực tế duy nhất? Quản trị cho những phương pháp lai đó sẽ trông như thế nào?

Danh tính phi tập trung hoàn toàn có thể xảy ra ở quy mô quốc gia và thậm chí toàn cầu, nhưng điều đó không có nghĩa là chính phủ và ngân hàng không có vai trò; nó có nghĩa là vai trò của họ thay đổi. Họ nên là những người tham gia, xác thực và quản lý các tiêu chuẩn, không phải là những người giữ dữ liệu cá nhân của mọi người trong một kho lưu trữ.

Một mô hình hybrid có thể trông như là các chính phủ giúp phát hành hoặc hỗ trợ các chứng chỉ trong khi cá nhân vẫn là những người kiểm soát danh tính của họ, và quản trị phải có nhiều bên liên quan với xã hội dân sự và các nhà công nghệ tham gia, để không có thực thể đơn lẻ nào có thể chiếm đoạt hệ thống vì lợi nhuận hoặc kiểm soát.

Q8. human.tech xây dựng phục hồi và quản lý khóa ưu tiên quyền riêng tư. Bạn có thể tóm tắt, ở mức cao, cách bạn cho phép phục hồi hỗ trợ sinh trắc học mà không lưu trữ các mẫu sinh trắc học có thể tái sử dụng một cách tập trung?

Có, chúng tôi sử dụng tính toán đa bên và các kỹ thuật mật mã khác để đảm bảo rằng sinh trắc học của bạn không bao giờ tồn tại dưới dạng mẫu tái sử dụng trên một máy chủ nào đó, thay vào đó nó được sử dụng như một yếu tố cục bộ trong một quy trình phục hồi phân tán, vì vậy hệ thống có thể giúp bạn truy cập lại tài khoản của mình mà không ai giữ bản sao dấu vân tay hoặc khuôn mặt của bạn có thể bị mất, bị đánh cắp hoặc bị lạm dụng.

Q9. Nếu bạn đang tư vấn cho một chính phủ phản ứng với vụ vi phạm ở Pakistan này, ba hành động kỹ thuật và chính sách ngay lập tức hàng đầu mà bạn sẽ khuyến nghị trong 72 giờ đầu tiên là gì?

Đầu tiên, ngừng chảy máu, tìm kiếm vector tấn công và bảo vệ hệ thống để lỗ hổng không tiếp tục mở rộng. Thứ hai, ngay lập tức thông báo cho công dân và cung cấp cho họ các công cụ để tự bảo vệ vì quá thường xuyên chính phủ che giấu các lỗ hổng và mọi người không biết cho đến khi quá muộn. Thứ ba, xóa tất cả nhật ký để phân tích pháp y, xoay vòng tất cả các khóa, hoàn thành các cuộc kiểm toán và phân tích an ninh, và tiến hành kiểm tra thâm nhập để xác định các khoảng trống.

Sau khi mọi thứ lắng xuống, hãy bắt đầu triển khai cơ sở hạ tầng danh tính bảo vệ quyền riêng tư ngay bây giờ vì công nghệ đã tồn tại, bằng chứng không biết gì đã tồn tại, nhận dạng phi tập trung đã tồn tại, và lý do duy nhất mà chúng chưa được áp dụng là vì các tổ chức di chuyển quá chậm hoặc thực sự không đủ quan tâm đến việc bảo vệ người dân của họ.

Q10. Người bình thường nên làm gì ngay bây giờ nếu họ nghi ngờ rằng danh tính quốc gia hoặc dữ liệu sinh trắc học của họ đã bị lộ? Đưa ra một danh sách kiểm tra ngắn gọn theo thứ tự ưu tiên.

Họ nên ngay lập tức cập nhật và tăng cường tất cả các tài khoản kỹ thuật số kết nối với danh tính đó, kích hoạt xác thực đa yếu tố ở bất kỳ đâu có thể, theo dõi các hoạt động bất thường như cố gắng hoán đổi SIM, và rất cẩn thận với các cuộc gọi hoặc email lừa đảo sử dụng các mảnh dữ liệu bị rò rỉ để nghe có vẻ thuyết phục.

Sử dụng các trang web như "haveibeenpwnd.com" hoặc tương tự để quét Dark Web cho dữ liệu cá nhân của bạn. Các dịch vụ khác có thể xóa thông tin của bạn với một khoản phí. Cũng có thể đáng để kết nối với các tổ chức phi chính phủ hoặc các nhóm dân sự có thể giúp đỡ về an ninh kỹ thuật số vì phòng thủ tập thể luôn mạnh mẽ hơn việc cố gắng tự mình tìm ra.

Q11. Những cuộc tấn công hạ nguồn nào (SIM swap, chiếm đoạt tài khoản, giám sát có mục tiêu, deepfakes, v.v.) mà các tổ chức NGO, ngân hàng và công ty viễn thông nên coi là ưu tiên hàng đầu sau một vụ rò rỉ, và họ nên phối hợp như thế nào?

Việc hoán đổi SIM và chiếm đoạt tài khoản luôn là làn sóng đầu tiên, vì vậy các nhà mạng và ngân hàng cần phải làm việc cùng nhau để theo dõi và phản ứng nhanh chóng, nhưng rủi ro dài hạn sâu hơn là giám sát có mục tiêu và việc sử dụng thông tin sinh trắc học bị rò rỉ để tạo ra các deepfake giả mạo người khác. Vì lý do này, sự phối hợp phải bao gồm không chỉ các tổ chức tài chính mà còn cả các nền tảng truyền thông, chính phủ và các tổ chức phi chính phủ có thể cung cấp cảnh báo nhanh và giáo dục cho những người có nguy cơ cao nhất.

Q12. Nhìn về 5–10 năm tới: một hệ thống danh tính toàn cầu bền vững, lấy con người làm trung tâm sẽ trông như thế nào, cả về mặt kỹ thuật và trong quản trị, và những khối xây dựng quan trọng nhất còn thiếu là gì?

Một hệ thống kiên cường trông giống như một nơi mà danh tính không phải là một vũ khí có thể bị sử dụng chống lại bạn hoặc bị lấy đi từ bạn, mà là một công cụ mở ra nhân tính của bạn trực tuyến. Về mặt kỹ thuật, nó trông giống như các định danh phi tập trung, các bằng chứng không có kiến thức và các hệ thống phục hồi không yêu cầu bạn phải đưa sinh trắc học của mình cho một máy chủ trung tâm.

Về mặt quản trị, có vẻ như là sự quản lý chung với con người ở trung tâm, không phải các tập đoàn hay nhà nước, và phần còn thiếu ngày nay thực sự là ý chí chính trị. Công nghệ đã có sẵn, bản hiến ước của các công nghệ nhân văn nêu ra các nguyên tắc, nhưng chúng ta cần những nhà lãnh đạo sẵn sàng áp dụng chúng thay vì tiếp tục dựa vào các hạ tầng giám sát tập trung sẽ tiếp tục thất bại.

Tóm tắt phỏng vấn

Điểm rút ra từ góc nhìn của El Damaty là hai mặt. Thứ nhất, công việc thực tiễn ngay lập tức sau bất kỳ sự rò rỉ lớn nào phải mạnh mẽ và minh bạch: dừng chảy máu, bảo vệ vector, thông báo cho những người bị ảnh hưởng, thay đổi khóa, chuyển giao nhật ký cho các điều tra viên độc lập và thúc đẩy việc kiểm soát nhanh chóng. Thứ hai, khả năng phục hồi lâu dài yêu cầu suy nghĩ lại về người kiểm soát danh tính. Các kỹ thuật như chứng minh không kiến thức và tính toán đa bên có thể cho phép mọi người chứng minh các sự thật về bản thân, rằng họ là duy nhất, trên một độ tuổi nhất định, hoặc đủ điều kiện cho một dịch vụ, mà không phải chuyển giao dữ liệu sinh trắc học thô hoặc cơ sở dữ liệu tập trung có thể bị thu thập và tái sử dụng.

Đối với cá nhân, lời khuyên của El Damaty là đơn giản và cấp bách: khóa tài khoản, kích hoạt xác thực đa yếu tố, theo dõi các nỗ lực chuyển SIM và hoài nghi về các cuộc lừa đảo sử dụng dữ liệu bị rò rỉ. Đối với các tổ chức, bài học là cấu trúc: xác minh bảo vệ quyền riêng tư phát triển nhanh hơn các đánh giá viên con người và phải là một phần của chiến lược phòng thủ, đặc biệt đối với các ngân hàng, công ty viễn thông và các tổ chức cứu trợ chứng kiến những tác động xấu nhất ở hạ nguồn.

Cuối cùng, công nghệ để xây dựng các hệ thống danh tính an toàn hơn, tập trung vào con người đã tồn tại, các định danh phi tập trung, bằng chứng không biết và các quy trình phục hồi ưu tiên quyền riêng tư là có thật và có thể triển khai. "Công nghệ đã có đây," El Damaty nói; điều thiếu thốn, ông cảnh báo, là ý chí chính trị và một mô hình quản trị đặt con người, không phải những kho dữ liệu đơn lẻ, vào trung tâm. Cho đến khi điều đó thay đổi, mỗi lần vi phạm mới sẽ là một lời nhắc nhở tốn kém rằng danh tính tập trung vẫn là một điểm thất bại duy nhất cho chính lòng tin.