Комментарии 75
В настоящий момент на Reddit создаются отдельные сообщества, чтобы анализировать, распространять и передавать в правоохранительные органы слитые данные.
Ну это уже ни в какие ворота.
Это же получено незаконным путем
КМК тут есть достаточный повод для судебного преследования «расследователей».
Реддит весь целиком на стороне демократов, или только администрация? Какие там вообще настроения витают?
партнеры Parler особо не заботились о безопасности ее данныхкак и сам Parler
Ваня Сияк в ФБ
Сегодня в репутации украинских айтишников образовалась дыра размером с Житомир. Оказалось, что команда гениев построила Parler на уязвимом Вордпрессе и применяла для двухфакторной аутентификации пользователей free trial софт Okta. После штурма Капитолия владельцы софта отключили Parler доступ к нему, а сеть не стала по этому поводу ничего предпринимать.
Узнав об отключении (!) из пресс-релиза производителей Okta (!), неизвестные активисты провели ночью атаку, в ходе которой похитили у Parler 70 терабайтов данных — все посты, включая приватные и удаленные; профайлы; геолокации; сканы водительских удостоверений премиум-юзеров. Сейчас массив свободно распространяется по десяткам ссылок.
Это конец. Американская социальная сеть для правых и консерваторов убита нашими криворукими разработчиками. Зато инвесторы сэкономили на зарплатах.
Вот только они не заботились, т.к. не думали, что их нагло кинут и поставят другие крупные фирмы. Да, они сами себе злые Буратины, но такое поведение остальных компаний просто ужасно. Это прецедент, который явно повлияет на репутацию, а также даст остальным понять, что за безопасность своих данных отвечать должен только сам и верить никому нельзя.
Ну почти, я бы предложил какой-нибудь Вконтакт с поправками. Дизайн и функционал последнего превосходит Фейсбук хм… во всём, да. Да и американский товарищ майор далековато.
Правда тут радикальные правые и левые крылья по примеру западных коллег частенько зачищают, так что если сильный крен в какой-нибудь расизм — лучше брать пашину Телегу.
Главная проблема как и во всякой смене платформе на самом деле в том, что никого из твоего круга общения там скорее всего нет и перетащить часто бывает тяжеловато. Например мне вот до последнего приходилось сидеть в Скайпе. Благо его настолько убили, что получилось окончательно переехать в Дискорд.
del
То, что их «экскоммуницировали», и как именно это сделали — плохо, я не спорю. Но вот эта часть статьи — это просто прямая ложь, о чём я и пишу:
В процессе отключения своих услуг партнеры Parler особо не заботились о безопасности ее данных. Например, вендор почтового сервиса предоставил третьим лицам доступ к учетным данным администратора в соцсети.Не вендор предоставил, а Парлер не озаботились адекватным с точки зрения секьюрити и вообще здравого смысла поведением.
Компании разломали за день инфраструктуру «партнеры» — этот сценарий, я полагаю, они и в страшном сне себе не представляли.Это всё равно что сказать «разработчик ПО в страшном сне не представлял обработку ошибок».
Вот как раз такая ситуация недавно была в Ubuntu. Прибиваем демона и менеджер, отвечающий за вход в систему, не получив от демона ответ, пускает нас в систему с максимально возможными правами без всякой авторизации.
Разработчик должен понимать, что ситуация «ответ должен быть (положительный или отрицательный), но его нет» это нештатная ситуация и обрабатывать её соответственно, а не пропускать авторизацию.
Не не. Не надо путать. Если при сбое в системе идентификации или авторизации приложение разрешет доступ, то это неправильно спроектированная или реализованная система. Вот допустим вы установили электрически управляемый замок на двери квартиры и при отключении электричества он просто открывает дверь. Наверное вы бы не хотели такого. Но при этом, если эта дверь — входная в подъезде многоквартирного дома, то открывание замка при отключении питания, возможно, более подходящий вариант.
И вот если там был действительно первый вариант, что при сбое системы идентификации и авторизации, открывается доступ, то, увы, это говорит об ошибке программиста или проектировщика.
Хотя халатность самого парлера на порядок-другой вероятнее, но точно будет известно только если утекут ещё и исходники.
Другой пример: зачем тогда пароли хэшировать и солить? Давайте хранить их плейнтекстом, ведь это не даёт права злоумышленнику несанкционированно сделать дамп базы. Но пароли как раз хэшируют и солят именно для того, чтобы в случае компрометации злоумышленнику было бы сложнее получить пароль.
С замком ровно то же самое. Поскольку мы не живём в идеальном мире, есть люди, готовые нарушить правила и законы. Именно поэтому существуют замки. В случае утечки данных, всё ещё хуже, потому что похищенные вещи вернуть можно, а вот утёкшие данные нет.
Можно, конечно, не запирать и надеяться, что все мимопроходящие будут законопослушны, но об этом есть поговорка «на Бога надейся, а сам не плошай». Я бы не стал доверять свои данные сервису, который надееться лишь на то, что никто не будет делать запрещённые законом вещи.
Представьте себе ситуацию, что у вас есть какой-то сервис. И ваш бэкэнд (в смысле код, «приложение» на сервере) есть, а база упала. Что вы будете делать при неудачной попытке сверить пользовательский ввод с базой данных — вернёте ошибку или скажете пользователю «ОК»? Вот Парлер сказал пользователям «ОК».
С точки зрения разработки ситуация полностью эквивалентна даунтайму этого же сервиса, вот только почему-то вместо адекватной обработки ошибок они решили оставить дверь нараспашку.
Грубо говоря: нормальная система — это когда стоит дверь, подходит человек, вахтер проверяет документ, нажимает кнопку, дверь открывается. Вахтер ушел, кнопку нажать некому — дверь закрыта.
А у них было наоборот: подходит человек, вахтер проверяет документ, если этого пускать нельзя — держит дверь. Вахтер ушел, дверь держать некому, дверь может открыть кто угодно.
В реддите говорят, что API parlera в принципе не имеет никакой ауфентикации и позволяет делать с собой что угодно. Т.е. слив был бы возможен и без отключения "партнёров"
Админка наверно только добавила регистрационные данные, что правда существенно — для полноценной работы требовалось удостоверение личности, соответственно теперь идентификация пользователей не составляет вообще никаких проблем.
Я читал что слили только то, что было в паблике.
Личные данные появились от тех, кто повёлся на пост "Трамп всех помилует, напишите имя/фамилию/итд и Трамп всё сделает" (Да, такие есть).
Было бы смешно, если бы не было так грустно… как говориться. По факту теперь даже в бытовом споре апеллировать к гаранту демократии трудно. Цифровой маккартизм
Не ну а чё, в соседней теме В интернете опять кто-то неправ:
Угрозы убийства вещь серьезная, но банить на хостинге соцсеть это выглядит примерно также, как банить Красную площадь за то, что на ней собрались митингующие. Вероятно, нужны законы для идентификации аккаунтов людей в соцсетях, ведь свобода – это еще и ответственность. Пишешь незаконные вещи – будь готов нести ответственность, но цензура — это самый последний вариант решения проблем.
Мечты сбываются :)
А вот эти скрины я сделал 23 декабря 2020 года. Без прокси. Россия, Москва.
Как Data Science специалист я просто фигею от такого палева :)))
Яндекс:
Ни за что не поверю, что в гугле НЕ ПОЧИСТИЛИ вручную.
А что было 23 декабря 2020 года?
Скрины: слева — под своим аккаунтом; справа — приватном окне с VPN (минимизирую персонализацию)
В обоих случаях «фальсификации на выборах в сша» на первом месте.
На youtube/facebook тонны нежелательного контента, который даже тысячи модераторов никогда не отмодерируют. Но не заблокируют же они сами себя или друг друга.
не знаешь кто хуже — Амазон или Парлер.
Какого хрена они запрашивали у пользователей персданные когда знали о возможности их травли в случае деанона?
Архив утечки содержит 70 ТБ данных. Для его скачивания использовалась систему краудсорсинга, в которой множество пользователей загружали этот контент.
Самое забавное будет, если через некоторое время (4-8-12 лет) всплывет база пользователей, участвовавших в несанкционированном доступе к данным. И их, в свою очередь, деанонят активисты с другой стороны…
Не нашел ссылку на скачанный архив. Есть просто список урлов на parler.com с дат наезда на сеть, т.е. несколько дней. Вобщем статья так себе, работы журналиста я тут не вижу. Где пруфы по поводу терабайтов?
Ответ Амазона, с примерами "добрых" постов, которые Парлер отказался удалять. Ну совсем бе зпричины отключили (sarcasm off)
(читая доумент) [кашель_Лаврова.JPG]: Парлер хранил данные на серверах Амазона в виде открытого текста… А в условиях Амазона — "клиент не имеет права хранить у нас на серверах призывы к насилию и т.п."
Парлеру достаточно было поXORить эти данные с каким-нибудь простейшим ключиком — и амазон за… трахался бы доказывать, что то, что хранится у них на сервере — это именно призывы к насилию, а не случайный набор байтиков (а SQL поиск по XORенным данным всё равно работал бы).
Parler подала в суд на Amazon за локдаун. Контент соцсети скачали третьи лица, учетку админа им дал партнер соцсети