Max Weiss n'a jamais eu l'intention de pirater le gouvernement. Sa découverte de la facilité à faire, décrite dans un nouvel article dont il est l'auteur, est venue des meilleures intentions.

Weiss, un concentrateur gouvernemental de Cincinnati, faisait un travail de plaidoyer pour l'expansion de l'État et la défense de Medicaid l'été dernier, un projet qui combinait ses intérêts pour les politiques publiques et les soins de santé. Tout en étudiant les façons dont divers groupes de défense peuvent influencer la législation en instance, il a appris à quel point ces groupes trouvent précieuse la période de commentaires du gouvernement fédéral, lorsque les membres du public sont invités à se prononcer sur la législation nouvelle ou en cours via des formulaires en ligne. Il s'est rendu compte à quel point il serait facile de manipuler les résultats à l'aide de robots (programmes informatiques qui génèrent des réponses automatisées) pour inonder les sites de fausses réponses pour ou contre toute proposition.

Le jeune homme de 21 ans a détaillé ses découvertes dans un récent Technologie Science pièce, "Les soumissions de Deepfake Bot aux sites Web fédéraux de commentaires publics ne peuvent pas être distinguées des soumissions humaines."

« Nous passions beaucoup de temps et d'énergie à obtenir des commentaires de haute qualité de la part des électeurs, " a déclaré Weiss. " Je voulais m'assurer que ces agences fédérales comprenaient les conséquences potentielles de leurs politiques, et j'ai eu l'idée que je pourrais utiliser un bot et soumettre beaucoup de faux commentaires."

Il s'arrêta, reconnaissant que corrompre le processus était lourd :« Ce serait mauvais pour la démocratie.

Mais le résident de Leverett House n'a pas pu se débarrasser de l'idée, et il a commencé à rechercher la faisabilité d'un tel régime. Il s'avère que la soumission est facile à automatiser. Les agences fédérales ont une certaine latitude pour écarter les commentaires qui sont manifestement dupliqués ou non pertinents. Mais les défenses technologiques typiques contre les attaques, y compris CAPTCHAS, Détection d'une anomalie, et la vérification externe, qui sont toutes intégrées à l'activité en ligne, des opérations bancaires à la connexion par e-mail, étaient pratiquement absentes.

"La plupart de ces sites Web n'ont vraiment qu'une zone de texte pour vos commentaires publics, puis un bouton d'envoi, " il a dit.

Au cours de la rédaction du Sciences de la technologie papier, Weiss s'est rendu compte que les experts en cybersécurité tirent la sonnette d'alarme sur la vulnérabilité des sites Web fédéraux depuis des années, mais les transgressions précédentes avaient utilisé des méthodes de substitution relativement peu sophistiquées. « En 2017, il y a eu 22 millions de commentaires postés pour la proposition de la FCC d'abroger la neutralité du net, " Il a rappelé. " Et il a été constaté que 96% d'entre eux faisaient partie de campagnes en double. "

Weiss a utilisé des méthodes d'IA pour générer un volume élevé de commentaires deepfake uniques sur une proposition de dispense de Medicaid. Il a ensuite écrit un programme qui a automatisé le processus de soumission, et l'a exécuté à partir d'un ordinateur portable dans son dortoir pendant quelques jours. Il a soumis plus de 1, 000 faux commentaires qui représentaient 55% du total des soumissions et qui ont été trouvés par les répondants à l'enquête comme impossibles à distinguer des commentaires humains. Après, il a informé les Centers for Medicare et Medicaid Services fédéraux des commentaires qui faisaient partie de sa démonstration pour empêcher leur interférence avec l'évaluation authentique des commentaires du public.

Parmi les révélations les plus effrayantes, Weiss a admis qu'il avait réussi sans être un codeur expert et sans équipement spécial. "J'ai appris à coder au cours des quatre dernières années, juste à travers une série de projets personnels et d'emplois d'été, et une classe, " dit Weiss, qui a suivi des cours du nouveau programme en sciences technologiques. "Je pense que l'une des conclusions très importantes de l'étude est que quelqu'un comme moi qui est un codeur très novice a pu se frayer un chemin sur Google en piratant le gouvernement.

« J'ai toujours été très intéressé par les politiques publiques, " dit Weiss, qui aime aussi écrire et jouer de la comédie. « La plupart de mes études au gouvernement ont porté sur la politique de la santé ou la politique technologique ou la technologie d'intérêt public, donc c'était juste une sorte de synthèse de beaucoup de choses différentes que j'avais apprises dans le département du gouvernement et juste quelques projets technologiques personnels que j'ai réalisés dans le passé. "

"Max a fait un travail révolutionnaire, exactement le genre de travail à impact réel que nous encourageons nos étudiants à faire" dans les cours de science technologique, dit Latanya Sweeney, professeur de gouvernement et de technologie en résidence et directeur du Data Privacy Lab à l'Institute for Quantitative Social Science, qui est rédacteur en chef de Technology Science.

"Grâce au travail de Max, plusieurs groupes au sein du gouvernement fédéral apportent maintenant activement des changements pour lutter contre ce genre de vulnérabilités, " elle a ajouté.

Cette histoire est publiée avec l'aimable autorisation de la Harvard Gazette, Journal officiel de l'Université de Harvard. Pour des nouvelles universitaires supplémentaires, visitez Harvard.edu.