Новости В коде Twitter нашли уязвимость, провоцирующую «теневой бан» жертвы

  • Автор темы BOOX
  • Дата начала

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.379
Репутация
11.800
Реакции
62.047
RUB
50
Недавно компания Twitter , данное Илоном Маском, и опубликовала исходный код своего рекомендательного алгоритма.


Изучением исходников тут же занялись многочисленные исследователи, и теперь одной их обнаруженных ими проблем присвоили идентификатор CVE. Уязвимость позволяет добиться «теневого бана» жертвы, то есть чужая учетная запись будет скрыта от других «без права регресса».

NINTCHDBPICT000399554512.jpg


Проблема была Федерико Андресом Лоисом (Federico Andres Lois) во время изучения рекомендательного механизма, который, обеспечивает в Twitter работу раздела For You («Для вас»). Согласно исследованию, к «теневому бану» любого аккаунта, который вряд ли удастся преодолеть, могут привести скоординированные усилия других пользователей. Чтобы жертва получила масштабные репутационные штрафы, достаточно отписываться от нее, включать mute для этого аккаунта, блокировать его или сообщать о нарушениях.

По словам Лоиса, нынешний алгоритм рекомендаций в Twitter «позволяет нанести скоординированный ущерб репутации [любого] аккаунта без права регресса».

Этой проблеме уже был присвоен идентификатор

Получается, что любые учетные записи, которые подверглись массовой блокировке и отпискам, получают «теневой бан», и не будут отображаться в рекомендациях других людей, тогда как владелец пострадавшего аккаунта даже не узнает о наложенных на него ограничениях. При этом исследователь отмечает, что исправить такой бан, похоже, попросту нельзя.

Лоис пишет, что такие приложения, как , которые позволяют пользователям Twitter массово фильтровать учетные записи, по сути, являются инструментами, которые (преднамеренно или нет) оказывают аналогичное влияние на пользователей.

Многие пользователи Twitter уже заговорили о том, что ошибка может использоваться многочисленными армиями ботов на платформе. Когда один из пользователей Twitter предложил Маску решить проблему, разрешив mute, блокировку и жалобы только для пользователей Twitter «с синей галочкой», Маск , что он хочет знать, «кто стоит за этими ботнетами».

«Глобальные штрафы не должны применяться, потому что их можно довольно легко обмануть, все штрафы (если они есть) должны применяться на уровне контента».

Однако это потребует от Twitter наличия команды модераторов, а они, похоже, были массово уволены вместе с другим персоналом, когда Маск возглавил компанию в ноябре прошлого года.

Другим очевидным решением проблемы могло бы стать использование энтропии времени для негативных сигналов, но, по словам Лоиса, структура рекомендательного алгоритма Twitter позволяет легко преодолеть и это. Например, путем многократной подписки/отписки от конкретных аккаунтов каждые 90 дней. «Такую тактику можно использовать бесконечно»

.
 
Сверху Снизу