18 marca 2024
Czego na temat cyberbezpieczeństwa może nas nauczyć afera ze zdjęciem księżnej Kate?
Opinię publiczną wciąż mocno angażuje afera z przerobionym cyfrowo zdjęciem, zamieszczonym w internecie przez księżną Kate. Zaowocowała już analizami fotografii centymetr po centymetrze oraz przeróżnymi scenariuszami, dotyczącymi powodów tego zdarzenia. Tymczasem eksperci ds. cyberbezpieczeństwa podkreślają, że ta historia pokazuje przede wszystkim, że niemal każda publikacja zdjęcia w internecie to przekazanie znacznie większej liczby informacji niż tylko to, jak wyglądamy. A wszystko za przyczyną metadanych.
Jak przeanalizowali dziennikarze Sky News, ze wzbudzającego powszechne zainteresowanie zdjęcia opublikowanego 10 marca przez księżną Kate, dochodzącą do zdrowia po owianym tajemnicą zabiegu medycznym, można wyczytać nie tylko to, że było ono przerabiane w programie graficznym. Dzięki metadanym zdjęcia możemy się dowiedzieć też m.in. jakim aparatem zostało zrobione, w jakiej lokalizacji, za pomocą jakiego oprogramowania było edytowane i o jakiej dokładnie godzinie je zapisano. Metadane to bowiem ukryte informacje o plikach, zaszyte w nich samych. Te pochodzące ze zdjęcia księżnej Kate i jej rodziny posłużą zapewne przede wszystkim do snucia kolejnych scenariuszy spiskowych. Sama historia jest jednak także dobrym powodem do przypominania użytkownikom, czym może skutkować udostępnianie informacji i zdjęć w internecie.
Rozwój sztucznej inteligencji i technologii deepfake, pozwalającej na wykorzystywanie prawdziwych zdjęć do generowania fałszywych przekazów, sprawił, że każde udostępnienie prywatnych materiałów powinna poprzedzić podwójna refleksja. Użytkownicy powinni bardzo uważnie kontrolować, co i gdzie udostępniają. Warto też przypominać, że zdjęcia czy materiały wideo mogą nie tylko posłużyć cyberprzestępcom do generowania kolejnych fałszywych materiałów. Można z nich też uzyskać szereg metadanych w postaci informacji, które potencjalnie mogą umożliwić przestępstwa takie jak kradzieże czy wymuszenia pieniędzy. Jak się przed tym chronić? Oczywiście najlepiej nie udostępniać takich materiałów. Jeśli już to robimy – weryfikujmy czy serwis, na który wrzucamy zdjęcia, usuwa metadane, albo korzystajmy przed wrzuceniem z programów, które temu służą
Kamil Sadkowski,
analityk laboratorium antywirusowego ESET
„Przecież nie udostępniam zdjęć twarzy”
Gdzie mieszkasz? Gdzie pracujesz? W jakich miejscach bywasz regularnie? W jakich godzinach nie ma cię w domu? W jakim terminie zwykle wyjeżdżasz na wakacje? To informacje, którymi niekoniecznie chcemy dzielić się w internecie. Tymczasem, wielu użytkowników nieświadomie wrzuca je do sieci właśnie pod postacią metadanych. Cyberprzestępcy mogą je następnie wykorzystać do budowy kompleksowego profilu swojej ofiary, uwzględniającego m.in. informacje o jej preferencjach i nawykach. To szczególnie niebezpieczne w przypadku zdjęć dzieci, którymi przecież tak wiele rodziców chętnie dzieli się w internecie. Cyberprzestępca będzie w stanie z łatwością wyłuskać ze zdjęć informacje służące mu do zlokalizowania dziecka, sprawdzenia gdzie chodzi do szkoły, gdzie mieszka, na jakie zajęcia pozalekcyjne uczęszcza.
Także ci rodzice, którzy pilnują tego, aby na udostępnianych zdjęciach nie było widać wizerunku ich, czy dzieci, nie powinni popadać w fałszywe poczucie bezpieczeństwa. Wrzuciłeś do sieci zdjęcie, na którym widać jak twoja pociecha gra w tenisa, ale bez widocznej twarzy? Cyberprzestępca ustali na jego podstawie gdzie i kiedy uczęszcza na trening. Pochwaliłeś się zdjęciem pracy plastycznej na przedszkolnej tablicy? Prawdopodobnie ma ono w sobie zaszytą informację, pozwalającą ustalić, w jakiej placówce oświatowej dziecko bywa codziennie, a być może godzina jego wykonania pozwoli komuś wywnioskować, o której zwykle je stamtąd odbierasz…
„Przecież nie wrzucam zdjęć do sieci”
„To nie o mnie” – może w tym momencie pomyśleć wiele osób, które nie dzielą się prywatnymi fotografiami na otwartych profilach w mediach społecznościowych. Czy aby na pewno? Pamiętajmy, że pełne metadanych zdjęcia wrzucane w komentarzach do postów, fotografie udostępniane nawet na zamkniętych forach i grupach, a nawet w prywatnych chatach 1:1 też mogą kiedyś wyciec do sieci, np. kiedy zostaną (intencjonalnie lub nie) udostępnione przez naszych współrozmówców. Mogą także zostać wykradzione przez cyberprzestępców, którzy włamią się na konto nasze lub nieświadomego użytkownika, któremu udostępnialiśmy zdjęcia. Innym scenariuszem, którego zwykle nie bierzemy pod uwagę jest to, że nawet niewinna zabawa nową aplikacją, która zabawnie postarza nasze zdjęcia lub nakłada na nie ciekawy filtr, może skończyć się nieświadomym udostępnieniem metadanych dalej.
Wciąż powstają nowe aplikacje, które zachęcają nas do wrzucania zdjęć i kuszą zabawnym efektem np. postarzenia czy odmłodzenia wizerunku. Powinniśmy być niezwykle ostrożni i zawsze rozważyć kwestię przesyłania fotografii do nowych, niesprawdzonych narzędzi. Potencjalnie zagrożenie to nie tylko ewentualne złe intencje autorów aplikacji, ale także niewłaściwe zabezpieczenia, umożliwiające cyberprzestępcom kradzież takiego materiału. Zgodnie z RODO, każda tego typu aplikacja powinna zawierać w swojej polityce informacje, w jaki sposób przetwarzane są te dane, np. czy zdjęcie zostaje usunięte zaraz po jego przesłaniu, czy jest przez jakiś czas przechowywane na serwerach albo czy wzbogaca dane sieci neuronowej, służącej do generowania kolejnych awatarów. W praktyce nie zawsze takie informacje są dostępne na temat nowych popularnych aplikacji
Kamil Sadkowski,
analityk laboratorium antywirusowego ESET
Bartosz Różalski
senior product manager ESET
Masz pytania?
Skontaktuj się ze mną:
rozalski.b@dagma.pl
32 259 11 37