„The Whisper“, anonimiškumą žadanti socialinės žiniasklaidos programa, atskleidžia 900 milijonų vartotojų įrašus
Skirtumas tarp „Whisper“ ir įprastų socialinės žiniasklaidos platformų, tokių kaip „Facebook“ ar „Twitter“, yra tas, kad norint naudotis ja nereikia įvesti jokios asmeninės informacijos. Vietoj to, jūs tiesiog pasirenkate vartotojo vardą, nurodote, kokio amžiaus esate, ir galite laisvai pasidalyti savo mintimis. Būdami socialiniu tinklu, kiti žmonės juos mato, bet net neįsivaizduoja, kas juos parašė.
Table of Contents
„Whisper“ neapsaugotoje duomenų bazėje paliko 900 milijonų vartotojų įrašų
Dėl pažadėto anonimiškumo vartotojai raginami skelbti dalykus, kurių paprastai vengia viešinti, ir jiems sakoma, kad naudodamiesi „Whisper“ jie dalijasi savo giliausiomis paslaptimis „saugiausioje vietoje internete“. Tai drąsus teiginys, kuris skamba šiek tiek keistai, kai manote, kad oficialioji programos svetainė įkeliama naudojant HTTP, o ne HTTPS. Tai darosi dar keisčiau, kai supranti, kad ta pati programa paliko duomenų bazę, kurioje yra ne mažiau kaip 900 milijonų interneto įrašų turinčių vartotojų įrašų.
Šį atradimą praėjusią savaitę padarė „Dvylikos saugumo“ tyrėjai. „5TB Elasticsearch“ klasteris buvo prieinamas visiems, prisijungusiems prie interneto, jis nebuvo apsaugotas slaptažodžiu, o dalis jame esančios informacijos datuojama „Whisper“ pasirodymu 2012 m.
Ar duomenys buvo rimti?
Netrukus atradę duomenų bazę, dvylika ekspertų susisiekė su FTB ir „The Washington Post“. „The Post“ padėjo jiems susisiekti su „MediaLab“, programos kūrėju, o pirmadienį duomenų bazė buvo perkelta neprisijungus. Nepaisant gana greitos reakcijos, „MediaLab“ teigė, kad dėl nutekėjimo nėra nieko pernelyg nerimaujančio.
Anot „The Washington Post“ kalbėjusių atstovų, vartotojai vis dėlto noriai dalijosi dauguma duomenų programoje „Whisper“, o tai reiškė, kad nors tai neturėjo įvykti, ekspozicija nebuvo tokia didžiulė. Jie kalbėjo apie milijonus nutekėjusių vartotojų pranešimų ir jų argumentas buvo tas, kad dėl nutekėjimo vartotojams nebuvo keliamas tiesioginis pavojus dėl anonimiškumo. Tačiau saugumo ekspertai nebuvo tokie tikri.
Nesandarioje duomenų bazėje nebuvo jokių vardų, tačiau joje buvo nurodytas atskirų vartotojų amžius, lytis, gimtasis miestas, slapyvardis ir narystė grupėse. Jei kas nors bandytų išsiaiškinti „Whisper“ vartotojo tapatybę, šie duomenys galėtų žymiai susiaurinti galimybes. Suderink tai su tuo, kad taip pat buvo atskleista paskutinė žinoma paveiktų vartotojų vieta, ir pamatysite, kad nutiesti nutekėjusį įrašą realiam asmeniui buvo toli gražu neįmanoma. Po „The Post“ pranešimo „The Register“ taip pat susisiekė su tyrėjais ir suprato, kad atskleistų metaduomenų diapazonas buvo dar didesnis, nei iš pradžių tikėtasi. Pasirodo, slaptažodžio žetonai taip pat buvo įtraukti į duomenų bazę, o tyrėjai patvirtino, kad naudodamiesi jais, jie gali prisijungti prie žmonių paskyrų. Staiga problema atrodė daug didesnė, nei „MediaLab“ atstovai patikėtų. Tiems iš jūsų, atidžiai stebintiems „Whisper“ programos naujienas, tai gali būti šiek tiek déjà vu akimirka.
Tai nėra pirmas ginčas, susijęs su saugumu aplink „Whisper“
Dar 2014 m. „Guardian“ žurnalistai buvo pakviesti į „Whisper“ būstinę aptarti galimos partnerystės tarp naujienų rinkinio ir socialinės žiniasklaidos programos. Būdami ten, jie sužinojo, kad „Whisper“ turi mechanizmus, leidžiančius sekti žmonių buvimo vietą, net kai vartotojai aiškiai atsisakė to.
Po pranešimo socialinio tinklo atstovai paneigė visus kaltinimus ir viešai apkaltino britų laikraštį melo skelbimu. Galiausiai minėti atstovai buvo atleisti, o sekimas, matyt, buvo nutrauktas.
Šiuo metu „MediaLab“ darbuotojai dar kartą bando įtikinti visuomenę, kad viskas nėra taip blogai, kaip rodo naujienų reportažai, ir, deja, turime pasakyti, kad jie tikrai nepadarė pakankamai, kad patikintų mus, jog tai yra daugiau nei tik bandymas sumenkinti situacijos rimtumą.
