Pull to refresh

Comments 75

В настоящий момент на Reddit создаются отдельные сообщества, чтобы анализировать, распространять и передавать в правоохранительные органы слитые данные.

Ну это уже ни в какие ворота.
А в чем смысл сливать слитые данные правоохранителям? Это же получено незаконным путем -> их все равно нельзя использовать как доказательство.
Правоохранителям не нужны доказательства — они добудут их сами. Им нужно знать, что и про кого доказывать =)
Мне кажется, Вы сделали такой вывод при сериалов про американское правосудие?

Это и в России так работает. Ты не можешь использовать видео из скрытой камеры, к примеру.

Это же получено незаконным путем

КМК тут есть достаточный повод для судебного преследования «расследователей».

Вы не понимаете, это другое )
Блин сюр конечно какой то, одно дело навальный с его трусами, а тут просто 37 год какой то в светочи демократии )

То есть когда 4чан, например, занимается тем же самым — это не угроза демократии?

Не то чтоб я прочитал все по ссылке, но я не нашел там никаких сообществ для анализа и передачи данных. Там обсуждают примерно то же, что и ниже — почему у Парлера такая дыра в безопасности.
Просто это сегодняшний/завтрашний день органов: частники расследуют, органы дорасследуют и возбуждают дела.

Реддит весь целиком на стороне демократов, или только администрация? Какие там вообще настроения витают?

Конечно!

Это только в Рашке шизанутая вата по-мазохистки обожает Трампа по принципу «бьёт значит любит!».
И уехавших за границу — тоже встречается, потому что можно вывезти ватника из Рашки, но трудно вывести вату из мозгов.
image
Уровень вашей агрессии выдает в Вас радикала, а такие вредны для общества вне зависимости от их крыла (левого или правого).
партнеры Parler особо не заботились о безопасности ее данных
как и сам Parler
Ваня Сияк в ФБ

Сегодня в репутации украинских айтишников образовалась дыра размером с Житомир. Оказалось, что команда гениев построила Parler на уязвимом Вордпрессе и применяла для двухфакторной аутентификации пользователей free trial софт Okta. После штурма Капитолия владельцы софта отключили Parler доступ к нему, а сеть не стала по этому поводу ничего предпринимать.

Узнав об отключении (!) из пресс-релиза производителей Okta (!), неизвестные активисты провели ночью атаку, в ходе которой похитили у Parler 70 терабайтов данных — все посты, включая приватные и удаленные; профайлы; геолокации; сканы водительских удостоверений премиум-юзеров. Сейчас массив свободно распространяется по десяткам ссылок.

Это конец. Американская социальная сеть для правых и консерваторов убита нашими криворукими разработчиками. Зато инвесторы сэкономили на зарплатах.

Вот только они не заботились, т.к. не думали, что их нагло кинут и поставят другие крупные фирмы. Да, они сами себе злые Буратины, но такое поведение остальных компаний просто ужасно. Это прецедент, который явно повлияет на репутацию, а также даст остальным понять, что за безопасность своих данных отвечать должен только сам и верить никому нельзя.

Получается Google, Apple и Amazon это всего лишь пешки?
По-моему, Google, Apple и Amazon как раз таки ферзи.
Ну они таки конкуренты друг другу в бизнесе, а тут единым фронтом, как по команде, выходит команду им эту кто-то отдал.
Нет. Надо четко понимать, что фантастика про всемогущие корпорации — всего лишь фантастика. Эксклюзивное право на применение силы — у государства (читай, политиков), соответственно корпорации в конечном итоге подчиняются им. Несмотря на то, что взаимное влияние все же имеет место быть.
UFO just landed and posted this here
Когда живешь в США, ваш сарказм воспринимается неоднозначно.
This but unironicallу

Ну почти, я бы предложил какой-нибудь Вконтакт с поправками. Дизайн и функционал последнего превосходит Фейсбук хм… во всём, да. Да и американский товарищ майор далековато.

Правда тут радикальные правые и левые крылья по примеру западных коллег частенько зачищают, так что если сильный крен в какой-нибудь расизм — лучше брать пашину Телегу.

Главная проблема как и во всякой смене платформе на самом деле в том, что никого из твоего круга общения там скорее всего нет и перетащить часто бывает тяжеловато. Например мне вот до последнего приходилось сидеть в Скайпе. Благо его настолько убили, что получилось окончательно переехать в Дискорд.
Натурально суд Линча устроили для компании. Без суда и следствие толпой под вой реддитеров убили сервис. Просто потому что он «не такой как все».
Да нормально, прикроют как обычно заботой о пользователях, борьбой с терроризмом, может даже 9\11 приплетут, если уж совсем прижмёт. 9\11 заходит безотказно же, вон из-за него глобальную прослушку включили даже. А после протестов может быть еще и закон о запрете владения оружием дотолкают, давно же хотят уже. Демократия — она такая )))
UFO just landed and posted this here
Одна вещь в статье подана неправильно: это не партнёры Parler сломали им безопасность, это некомпетентные разработчики Parler реализовали логику так, что при потере доступа к сервисам авторизации, они не слали пользователя нафиг с ошибкой, а пропускали его внутрь. Благодаря чему, собственно, и получилось зайти в админку и вот это вот всё.
UFO just landed and posted this here
Не просто изнасилования, а изнасилования среди бела дня на людной улице толпой обывателей. Вот что страшно:(
Эээ, совсем не понял сравнения.

То, что их «экскоммуницировали», и как именно это сделали — плохо, я не спорю. Но вот эта часть статьи — это просто прямая ложь, о чём я и пишу:
В процессе отключения своих услуг партнеры Parler особо не заботились о безопасности ее данных. Например, вендор почтового сервиса предоставил третьим лицам доступ к учетным данным администратора в соцсети.
Не вендор предоставил, а Парлер не озаботились адекватным с точки зрения секьюрити и вообще здравого смысла поведением.
UFO just landed and posted this here
Если разработчик не подумал «А что будет, если у меня по какой-то причине отвалится сервис авторизации» — то он сам себе злобный буратино.
Компании разломали за день инфраструктуру «партнеры» — этот сценарий, я полагаю, они и в страшном сне себе не представляли.
Это всё равно что сказать «разработчик ПО в страшном сне не представлял обработку ошибок».

Вот как раз такая ситуация недавно была в Ubuntu. Прибиваем демона и менеджер, отвечающий за вход в систему, не получив от демона ответ, пускает нас в систему с максимально возможными правами без всякой авторизации.

Разработчик должен понимать, что ситуация «ответ должен быть (положительный или отрицательный), но его нет» это нештатная ситуация и обрабатывать её соответственно, а не пропускать авторизацию.

Не не. Не надо путать. Если при сбое в системе идентификации или авторизации приложение разрешет доступ, то это неправильно спроектированная или реализованная система. Вот допустим вы установили электрически управляемый замок на двери квартиры и при отключении электричества он просто открывает дверь. Наверное вы бы не хотели такого. Но при этом, если эта дверь — входная в подъезде многоквартирного дома, то открывание замка при отключении питания, возможно, более подходящий вариант.
И вот если там был действительно первый вариант, что при сбое системы идентификации и авторизации, открывается доступ, то, увы, это говорит об ошибке программиста или проектировщика.

Ну вот я ровно об этом, да. Спасибо. :)
UFO just landed and posted this here
Так для того, чтобы эта проблема вскрылась, не надо было разламывать им инфраструктуру целиком, достаточно было, чтобы внешний сервис аутентификации емэйлов лёг. Остальные их невзгоды к утечкам 70 ТБ данных не имеют никакого отношения.
А теперь вопрос: если «партнёр» спалил админскую почту, то не мог ли он до кучи на все авторизации парлера говорить «норм, можно пускать», например, в течение часа?
Хотя халатность самого парлера на порядок-другой вероятнее, но точно будет известно только если утекут ещё и исходники.
А мог ещё и сам взломать, ага, и вообще там рептилоиды сидят.
Презумпция невиновности + бритвы Оккама и Хэнлона, в общем.
Тем не менее, даже если вы закрываете дверь в квартиру на морковку, несанкционированное проникновение квалифцируется как взлом. И это правильно.
Несанкционированное проникновение классифицируется как взлом. А вот закывание «на морковку» доступа к персональным данным в лучшем случае классифицируется как халатность, а то и вредительство и нарушение требований безопасности.
Не даёт, но какие тут претензии к сервису авторизации? Он же никуда не проникал. Проникновение осуществили пользователи Reddit.
Сломанные замки на двери моей квартиры не дают права её грабить.
Это уже вопросы к тем, кто из сервиса данные выгружает, а их ни в этой статье, ни в комментариях не обсуждают особо. Тут вроде о компаниях говорят.
Высунутая в окно голая задница не даёт права в неё присунуть. Тем не менее, высовывание голой задницы в окно нельзя назвать разумным поступком, потому что если кто-то таки нарушит и присунет, то будет неприятно, а наказание присунувшего — слабым утешением…

Другой пример: зачем тогда пароли хэшировать и солить? Давайте хранить их плейнтекстом, ведь это не даёт права злоумышленнику несанкционированно сделать дамп базы. Но пароли как раз хэшируют и солят именно для того, чтобы в случае компрометации злоумышленнику было бы сложнее получить пароль.

С замком ровно то же самое. Поскольку мы не живём в идеальном мире, есть люди, готовые нарушить правила и законы. Именно поэтому существуют замки. В случае утечки данных, всё ещё хуже, потому что похищенные вещи вернуть можно, а вот утёкшие данные нет.

Можно, конечно, не запирать и надеяться, что все мимопроходящие будут законопослушны, но об этом есть поговорка «на Бога надейся, а сам не плошай». Я бы не стал доверять свои данные сервису, который надееться лишь на то, что никто не будет делать запрещённые законом вещи.
То есть «партнеры» отключили Парлер, что позволило его ломануть, и они не причем?
Партнёры отключили Парлер, а Парлер сам был имплементирован так, что неадекватно вёл себя в случае service outage внешнего вендора. И повторяю — это могло воспроизвестись и в случае, если бы тот внешний сервис просто лёг, судя по всему.

Представьте себе ситуацию, что у вас есть какой-то сервис. И ваш бэкэнд (в смысле код, «приложение» на сервере) есть, а база упала. Что вы будете делать при неудачной попытке сверить пользовательский ввод с базой данных — вернёте ошибку или скажете пользователю «ОК»? Вот Парлер сказал пользователям «ОК».
Я себе представляю ситуацию, когда я заключаю договор с ЧОП, который стоит на входе в мой дом и пропускает только тех, кого я хочу. Так как есть охранник, мне незачем двери запирать. И вдруг охранник сваливает в закат, и меня грабят. Да, я конечно виноват и долбодятел, что не закрывал двери. А ЧОП тогда кто?
Вот только Парлер не заключал договор с ЧОП, а использовал сервис, функциональность которого (конкретно части, имеющей отношение к утечке) сводилась к «принять емэйл нового пользователя — отправить на него код верификации — обработать введённый пользователем код». Он не реализует флоу авторизации и аутентификации, этим всё ещё занимался сам Парлер (т.е. дверь в вашей аналогии была заперта, потому что у вас не договор с ЧОП, а считыватель пропусков в аренду взят).
С точки зрения разработки ситуация полностью эквивалентна даунтайму этого же сервиса, вот только почему-то вместо адекватной обработки ошибок они решили оставить дверь нараспашку.
Не совсем так.
Грубо говоря: нормальная система — это когда стоит дверь, подходит человек, вахтер проверяет документ, нажимает кнопку, дверь открывается. Вахтер ушел, кнопку нажать некому — дверь закрыта.
А у них было наоборот: подходит человек, вахтер проверяет документ, если этого пускать нельзя — держит дверь. Вахтер ушел, дверь держать некому, дверь может открыть кто угодно.

В реддите говорят, что API parlera в принципе не имеет никакой ауфентикации и позволяет делать с собой что угодно. Т.е. слив был бы возможен и без отключения "партнёров"

Как я понял все посты, видео и сообщения спокойно без админки спарсили, так как не было ни ограничений на количество запросов, ни проверки на право доступа (спарсили то, что пользователи как бы удалили, хакерша даже говорила, что через API нельзя было отличить общедоступный контент от скрытого). Так же все URL были последовательными, что сделало закачку всех данных очень простой в реализации.

Админка наверно только добавила регистрационные данные, что правда существенно — для полноценной работы требовалось удостоверение личности, соответственно теперь идентификация пользователей не составляет вообще никаких проблем.

Я читал что слили только то, что было в паблике.
Личные данные появились от тех, кто повёлся на пост "Трамп всех помилует, напишите имя/фамилию/итд и Трамп всё сделает" (Да, такие есть).

То что было в паблике общедоступно. А вот личные данные как я понял передавались ФБР. Эта позиция кажется вполне логичной.

Я кстати видел скрин этого поста с призывами. Даже Белый Дом официально объявил, что не собирает эту информацию.

Было бы смешно, если бы не было так грустно… как говориться. По факту теперь даже в бытовом споре апеллировать к гаранту демократии трудно. Цифровой маккартизм

Не ну а чё, в соседней теме В интернете опять кто-то неправ:


Угрозы убийства вещь серьезная, но банить на хостинге соцсеть это выглядит примерно также, как банить Красную площадь за то, что на ней собрались митингующие. Вероятно, нужны законы для идентификации аккаунтов людей в соцсетях, ведь свобода – это еще и ответственность. Пишешь незаконные вещи – будь готов нести ответственность, но цензура — это самый последний вариант решения проблем.

Мечты сбываются :)

Когда убивали Муаммара Каддафи (октябрь 2011) я через прокси, расположенный в штате Техас, зашёл в гугол. Начал гуглить про Каддафи. Ни одной, отличной от политики партии «демократической точки зрения» мнения на 10 страницах… Далее я устал. До сих пор жалею, что скрины не сделал…

А вот эти скрины я сделал 23 декабря 2020 года. Без прокси. Россия, Москва.
Как Data Science специалист я просто фигею от такого палева :)))

Фальсификация выборов
Гугол:
Яндекс:


Ни за что не поверю, что в гугле НЕ ПОЧИСТИЛИ вручную.

Вариант, что яндексом и гуглом пользуются разные слои населения, и у них разные популярные запросы, вы не рассматриваете?
Когда убивали Муаммара Каддафи (октябрь 2011) я через прокси, расположенный в штате Техас, зашёл в гугол. Начал гуглить про Каддафи. Ни одной, отличной от политики партии «демократической точки зрения» мнения на 10 страницах…

Неужели республиканцы тогда были за Каддафи?!
Или что совой об пень, что пнём об сову, все равно совушке не жить что демократы, что республиканцы, все равно Каддафи было не жить?

А что было 23 декабря 2020 года?

Понимаю, что прошло много времени, но всё же.
Скрины: слева — под своим аккаунтом; справа — приватном окне с VPN (минимизирую персонализацию)
Фальсификации

В обоих случаях «фальсификации на выборах в сша» на первом месте.
Ну как обычно, то что можно крупняку Google/Apple/Amazon, нельзя другим.
На youtube/facebook тонны нежелательного контента, который даже тысячи модераторов никогда не отмодерируют. Но не заблокируют же они сами себя или друг друга.
Ну что вы, просто откройте свой абузоустойчивый дц, сделайте свой поисковик, свою линейку смартфонов со своим магазином приложений и всё. Ну если заблокируют, то ещё свой впн сделайте. А если запретят импорт ваших смартов, то свою страну создайте, а лучше новую планету колонизируйте. Что сложного? Корпорации — добро, нельзя их регулировать, а поправки двух вековой давности абсолютно релевантны с нынешними технологиями.
@персональные документы пользователей (сканы водительских удостоверений и номера соцстрахования), которые они предоставляли для подтверждения своего аккаунта. @

не знаешь кто хуже — Амазон или Парлер.
Какого хрена они запрашивали у пользователей персданные когда знали о возможности их травли в случае деанона?
Вне зависимости от того что послужило причиной появления возможности скачать данные Parler — это несанкционированный доступ. По законам РФ -это уголовное преступление. Полагаю, что у пиндосов точно так же. По хорошему, многие должны сесть.
Архив утечки содержит 70 ТБ данных. Для его скачивания использовалась систему краудсорсинга, в которой множество пользователей загружали этот контент.


Самое забавное будет, если через некоторое время (4-8-12 лет) всплывет база пользователей, участвовавших в несанкционированном доступе к данным. И их, в свою очередь, деанонят активисты с другой стороны…

Не нашел ссылку на скачанный архив. Есть просто список урлов на parler.com с дат наезда на сеть, т.е. несколько дней. Вобщем статья так себе, работы журналиста я тут не вижу. Где пруфы по поводу терабайтов?

Ответ Амазона, с примерами "добрых" постов, которые Парлер отказался удалять. Ну совсем бе зпричины отключили (sarcasm off)

(читая доумент) [кашель_Лаврова.JPG]: Парлер хранил данные на серверах Амазона в виде открытого текста… А в условиях Амазона — "клиент не имеет права хранить у нас на серверах призывы к насилию и т.п."


Парлеру достаточно было поXORить эти данные с каким-нибудь простейшим ключиком — и амазон за… трахался бы доказывать, что то, что хранится у них на сервере — это именно призывы к насилию, а не случайный набор байтиков (а SQL поиск по XORенным данным всё равно работал бы).

Представитель Amazon рассказал «Блумберг», что все претензии соцсети не обоснованы, так как Parler по требованию платформы не ужесточила модерацию и не стала оперативно блокировать нежелательный контент.
Забавненько… так и представляю, как лендлорд-расист выгоняет ресторан арендующий у него помещение вместе со всеми посетителями в разгар работы, потому что владельцы ресторана "не ужесточили фейсконтроль и не стали оперативно блокировать нежелательных посетителей"(чёрных).

Деньги заплачены? Всё, оказывайте услугу! Если "нежелательный контент" является противозаконным — пищите заявление в правоохранительные органы. Если он законный — это не ваше дело, ваше дело предоставить хостинг за деньги.
И даже если Парлер подаст в суд на тех, кто разрушил компанию, то он его гарантированно проиграет, т.к. он уже признан большими дядями из Google/Apple/Amazon и т.д. и Сената США во всем виновным
Sign up to leave a comment.

Other news