Ресурс Parler недоступен11 января 2021 года Parler подала в федеральный суд Сиэтла иск против Amazon. Соцсеть обвиняет облачного провайдера в незаконном одностороннем расторжении контракта по веб-хостингу и неправомерном отключении серверов соцсети. На фоне проблем с блокировкой соцсети третьи лица смогли скачать почти весь ее контент. Им помог в этом партнер Parler (вендор почтового сервиса), отказавшийся с ним далее сотрудничать.
Amazon отключила соцсеть от веб-хостинга днем 11 января по причине наличия в ней контента, разжигающего и одобряющего насилие на фоне текущей ситуации в США. Днем ранее Apple и Google удалили приложение соцсети Parler из своих магазинов приложений.
Parler планировала перейти на другого провайдера, но большинство IT-компаний отказались от размещения серверов соцсети на свои площадках из-за действий Amazon, Google и Apple.
Исполнительный директор Parler Джон Матце заявил в иске, что действия Amazon «эквивалентны отключению пациента больницы от системы жизнеобеспечения». Матце просит суд обязать AWS вернуть сервис в онлайн. Вдобавок Parler обвиняет облачный сервис в нарушении антимонопольного законодательства и участии в скоординированной атаке технологических гигантов с целью уничтожить конкуренцию на рынке.
Представитель Amazon рассказал «Блумберг», что все претензии соцсети не обоснованы, так как Parler по требованию платформы не ужесточила модерацию и не стала оперативно блокировать нежелательный контент. Тем самым клиент нарушил условия обслуживания AWS и был отключен от облачных сервисов без возможности восстановления.
За последние три дня от соцсети отказались почти все текущие поставщики различных сервисов — от службы текстовых сообщений до электронной почты.
В процессе отключения своих услуг партнеры Parler особо не заботились о безопасности ее данных. Например, вендор почтового сервиса предоставил третьим лицам доступ к учетным данным администратора в соцсети. С этим аккаунтом и знанием внутренней структуры сервиса, которая также была раскрыта вендором, третьи лица успели скачать до отключения почти весь контент соцсети, включая ранее удаленные пользователями страницы и материалы.
Скриншот учетки админа в соцсети.
Архив утечки содержит 70 ТБ данных. Для его скачивания использовалась систему краудсорсинга, в которой множество пользователей загружали этот контент.
Утекли все личные сообщения пользователей, фото, видео, файлы и персональные документы пользователей (сканы водительских удостоверений и номера соцстрахования), которые они предоставляли для подтверждения своего аккаунта. Также в свободном доступе оказались метаданные, включая геолокацию пользователей.
В настоящий момент на Reddit создаются отдельные сообщества, чтобы анализировать, распространять и передавать в правоохранительные органы слитые данные.
ivanovdev
Ну это уже ни в какие ворота.
RiseOfDeath
А в чем смысл сливать слитые данные правоохранителям? Это же получено незаконным путем -> их все равно нельзя использовать как доказательство.
TeiSinTai
Правоохранителям не нужны доказательства — они добудут их сами. Им нужно знать, что и про кого доказывать =)
mihmig
Мне кажется, Вы сделали такой вывод при сериалов про американское правосудие?
Korpot
Это и в России так работает. Ты не можешь использовать видео из скрытой камеры, к примеру.
edo1h
КМК тут есть достаточный повод для судебного преследования «расследователей».
Stesh
Вы не понимаете, это другое )
DrSqaer
Блин сюр конечно какой то, одно дело навальный с его трусами, а тут просто 37 год какой то в светочи демократии )
Korpot
То есть когда 4чан, например, занимается тем же самым — это не угроза демократии?
Daemonis
Не то чтоб я прочитал все по ссылке, но я не нашел там никаких сообществ для анализа и передачи данных. Там обсуждают примерно то же, что и ниже — почему у Парлера такая дыра в безопасности.
iberisoft
Просто это сегодняшний/завтрашний день органов: частники расследуют, органы дорасследуют и возбуждают дела.
FerDeLance
Реддит весь целиком на стороне демократов, или только администрация? Какие там вообще настроения витают?
delhi_heir
Конечно!
andyN
Уровень вашей агрессии выдает в Вас радикала, а такие вредны для общества вне зависимости от их крыла (левого или правого).
v1000
MikeSinnerDe
PashkaRodinov18
Вот только они не заботились, т.к. не думали, что их нагло кинут и поставят другие крупные фирмы. Да, они сами себе злые Буратины, но такое поведение остальных компаний просто ужасно. Это прецедент, который явно повлияет на репутацию, а также даст остальным понять, что за безопасность своих данных отвечать должен только сам и верить никому нельзя.
saag
Получается Google, Apple и Amazon это всего лишь пешки?
sw0rl0k
По-моему, Google, Apple и Amazon как раз таки ферзи.
saag
Ну они таки конкуренты друг другу в бизнесе, а тут единым фронтом, как по команде, выходит команду им эту кто-то отдал.
andyN
Нет. Надо четко понимать, что фантастика про всемогущие корпорации — всего лишь фантастика. Эксклюзивное право на применение силы — у государства (читай, политиков), соответственно корпорации в конечном итоге подчиняются им. Несмотря на то, что взаимное влияние все же имеет место быть.
ybalt
Кто оказался без площадки Parler — могу посоветовать как замену соцсеть 'Одноклассники', она идеально подходит под нужды посетителей:
Кто нить может кинуть Трампу инвайт?
razor28
Когда живешь в США, ваш сарказм воспринимается неоднозначно.
MaslovRG
This but unironicallу
Ну почти, я бы предложил какой-нибудь Вконтакт с поправками. Дизайн и функционал последнего превосходит Фейсбук хм… во всём, да. Да и американский товарищ майор далековато.
Правда тут радикальные правые и левые крылья по примеру западных коллег частенько зачищают, так что если сильный крен в какой-нибудь расизм — лучше брать пашину Телегу.
Главная проблема как и во всякой смене платформе на самом деле в том, что никого из твоего круга общения там скорее всего нет и перетащить часто бывает тяжеловато. Например мне вот до последнего приходилось сидеть в Скайпе. Благо его настолько убили, что получилось окончательно переехать в Дискорд.
mr_tron
Натурально суд Линча устроили для компании. Без суда и следствие толпой под вой реддитеров убили сервис. Просто потому что он «не такой как все».
nikolayv81
del
andyN
Да нормально, прикроют как обычно заботой о пользователях, борьбой с терроризмом, может даже 9\11 приплетут, если уж совсем прижмёт. 9\11 заходит безотказно же, вон из-за него глобальную прослушку включили даже. А после протестов может быть еще и закон о запрете владения оружием дотолкают, давно же хотят уже. Демократия — она такая )))
siziyman
Одна вещь в статье подана неправильно: это не партнёры Parler сломали им безопасность, это некомпетентные разработчики Parler реализовали логику так, что при потере доступа к сервисам авторизации, они не слали пользователя нафиг с ошибкой, а пропускали его внутрь. Благодаря чему, собственно, и получилось зайти в админку и вот это вот всё.
hqarkx
Какая прелесть. Это как жертве изнасилования заявить — сама виноватая, не надо было родиться красивой такой.
zagayevskiy
Не просто изнасилования, а изнасилования среди бела дня на людной улице толпой обывателей. Вот что страшно:(
siziyman
Эээ, совсем не понял сравнения.
Не вендор предоставил, а Парлер не озаботились адекватным с точки зрения секьюрити и вообще здравого смысла поведением.То, что их «экскоммуницировали», и как именно это сделали — плохо, я не спорю. Но вот эта часть статьи — это просто прямая ложь, о чём я и пишу:
hqarkx
Компании разломали за день инфраструктуру «партнеры» — этот сценарий, я полагаю, они и в страшном сне себе не представляли. Кстати, упыри из FAANG, которое это все устроили, уже столько раз обделывались с безопасностью, при том на ровном месте — что все эти ваши мудрствования лукавые выглядят гаденько.
konst90
Если разработчик не подумал «А что будет, если у меня по какой-то причине отвалится сервис авторизации» — то он сам себе злобный буратино.
dartraiden
Вот как раз такая ситуация недавно была в Ubuntu. Прибиваем демона и менеджер, отвечающий за вход в систему, не получив от демона ответ, пускает нас в систему с максимально возможными правами без всякой авторизации.
Разработчик должен понимать, что ситуация «ответ должен быть (положительный или отрицательный), но его нет» это нештатная ситуация и обрабатывать её соответственно, а не пропускать авторизацию.
alexxz
Не не. Не надо путать. Если при сбое в системе идентификации или авторизации приложение разрешет доступ, то это неправильно спроектированная или реализованная система. Вот допустим вы установили электрически управляемый замок на двери квартиры и при отключении электричества он просто открывает дверь. Наверное вы бы не хотели такого. Но при этом, если эта дверь — входная в подъезде многоквартирного дома, то открывание замка при отключении питания, возможно, более подходящий вариант.
И вот если там был действительно первый вариант, что при сбое системы идентификации и авторизации, открывается доступ, то, увы, это говорит об ошибке программиста или проектировщика.
siziyman
Ну вот я ровно об этом, да. Спасибо. :)
hqarkx
Компании разломали за день инфраструктуру «партнеры» — этот сценарий, я полагаю, они и в страшном сне себе не представляли. Кстати, упыри из FAANG, которое это все устроили, уже столько раз обделывались с безопасностью, при том на ровном месте — что все эти ваши мудрствования лукавые выглядят гаденько.
siziyman
Так для того, чтобы эта проблема вскрылась, не надо было разламывать им инфраструктуру целиком, достаточно было, чтобы внешний сервис аутентификации емэйлов лёг. Остальные их невзгоды к утечкам 70 ТБ данных не имеют никакого отношения.
batyrmastyr
А теперь вопрос: если «партнёр» спалил админскую почту, то не мог ли он до кучи на все авторизации парлера говорить «норм, можно пускать», например, в течение часа?
Хотя халатность самого парлера на порядок-другой вероятнее, но точно будет известно только если утекут ещё и исходники.
siziyman
А мог ещё и сам взломать, ага, и вообще там рептилоиды сидят.
Презумпция невиновности + бритвы Оккама и Хэнлона, в общем.
bozman
Тем не менее, даже если вы закрываете дверь в квартиру на морковку, несанкционированное проникновение квалифцируется как взлом. И это правильно.
alexxz
Несанкционированное проникновение классифицируется как взлом. А вот закывание «на морковку» доступа к персональным данным в лучшем случае классифицируется как халатность, а то и вредительство и нарушение требований безопасности.
dartraiden
Не даёт, но какие тут претензии к сервису авторизации? Он же никуда не проникал. Проникновение осуществили пользователи Reddit.
61brg
Сломанные замки на двери моей квартиры не дают права её грабить.
siziyman
Это уже вопросы к тем, кто из сервиса данные выгружает, а их ни в этой статье, ни в комментариях не обсуждают особо. Тут вроде о компаниях говорят.
dartraiden
Высунутая в окно голая задница не даёт права в неё присунуть. Тем не менее, высовывание голой задницы в окно нельзя назвать разумным поступком, потому что если кто-то таки нарушит и присунет, то будет неприятно, а наказание присунувшего — слабым утешением…
Другой пример: зачем тогда пароли хэшировать и солить? Давайте хранить их плейнтекстом, ведь это не даёт права злоумышленнику несанкционированно сделать дамп базы. Но пароли как раз хэшируют и солят именно для того, чтобы в случае компрометации злоумышленнику было бы сложнее получить пароль.
С замком ровно то же самое. Поскольку мы не живём в идеальном мире, есть люди, готовые нарушить правила и законы. Именно поэтому существуют замки. В случае утечки данных, всё ещё хуже, потому что похищенные вещи вернуть можно, а вот утёкшие данные нет.
Можно, конечно, не запирать и надеяться, что все мимопроходящие будут законопослушны, но об этом есть поговорка «на Бога надейся, а сам не плошай». Я бы не стал доверять свои данные сервису, который надееться лишь на то, что никто не будет делать запрещённые законом вещи.
king29
То есть «партнеры» отключили Парлер, что позволило его ломануть, и они не причем?
siziyman
Партнёры отключили Парлер, а Парлер сам был имплементирован так, что неадекватно вёл себя в случае service outage внешнего вендора. И повторяю — это могло воспроизвестись и в случае, если бы тот внешний сервис просто лёг, судя по всему.
Представьте себе ситуацию, что у вас есть какой-то сервис. И ваш бэкэнд (в смысле код, «приложение» на сервере) есть, а база упала. Что вы будете делать при неудачной попытке сверить пользовательский ввод с базой данных — вернёте ошибку или скажете пользователю «ОК»? Вот Парлер сказал пользователям «ОК».
king29
Я себе представляю ситуацию, когда я заключаю договор с ЧОП, который стоит на входе в мой дом и пропускает только тех, кого я хочу. Так как есть охранник, мне незачем двери запирать. И вдруг охранник сваливает в закат, и меня грабят. Да, я конечно виноват и долбодятел, что не закрывал двери. А ЧОП тогда кто?
siziyman
Вот только Парлер не заключал договор с ЧОП, а использовал сервис, функциональность которого (конкретно части, имеющей отношение к утечке) сводилась к «принять емэйл нового пользователя — отправить на него код верификации — обработать введённый пользователем код». Он не реализует флоу авторизации и аутентификации, этим всё ещё занимался сам Парлер (т.е. дверь в вашей аналогии была заперта, потому что у вас не договор с ЧОП, а считыватель пропусков в аренду взят).
С точки зрения разработки ситуация полностью эквивалентна даунтайму этого же сервиса, вот только почему-то вместо адекватной обработки ошибок они решили оставить дверь нараспашку.
konst90
Не совсем так.
Грубо говоря: нормальная система — это когда стоит дверь, подходит человек, вахтер проверяет документ, нажимает кнопку, дверь открывается. Вахтер ушел, кнопку нажать некому — дверь закрыта.
А у них было наоборот: подходит человек, вахтер проверяет документ, если этого пускать нельзя — держит дверь. Вахтер ушел, дверь держать некому, дверь может открыть кто угодно.
Darlock_Ahe
В реддите говорят, что API parlera в принципе не имеет никакой ауфентикации и позволяет делать с собой что угодно. Т.е. слив был бы возможен и без отключения "партнёров"
Xaliuss
Как я понял все посты, видео и сообщения спокойно без админки спарсили, так как не было ни ограничений на количество запросов, ни проверки на право доступа (спарсили то, что пользователи как бы удалили, хакерша даже говорила, что через API нельзя было отличить общедоступный контент от скрытого). Так же все URL были последовательными, что сделало закачку всех данных очень простой в реализации.
Админка наверно только добавила регистрационные данные, что правда существенно — для полноценной работы требовалось удостоверение личности, соответственно теперь идентификация пользователей не составляет вообще никаких проблем.
Darlock_Ahe
Я читал что слили только то, что было в паблике.
Личные данные появились от тех, кто повёлся на пост "Трамп всех помилует, напишите имя/фамилию/итд и Трамп всё сделает" (Да, такие есть).
Xaliuss
То что было в паблике общедоступно. А вот личные данные как я понял передавались ФБР. Эта позиция кажется вполне логичной.
Я кстати видел скрин этого поста с призывами. Даже Белый Дом официально объявил, что не собирает эту информацию.
pavlushk0
Было бы смешно, если бы не было так грустно… как говориться. По факту теперь даже в бытовом споре апеллировать к гаранту демократии трудно. Цифровой маккартизм
Korpot
Забавно слышать это от коммуниста и любителя СССР.
Barnaby
Не ну а чё, в соседней теме В интернете опять кто-то неправ:
Мечты сбываются :)
PavelMSTU
Когда убивали Муаммара Каддафи (октябрь 2011) я через прокси, расположенный в штате Техас, зашёл в гугол. Начал гуглить про Каддафи. Ни одной, отличной от
политики партии«демократической точки зрения» мнения на 10 страницах… Далее я устал. До сих пор жалею, что скрины не сделал…А вот эти скрины я сделал 23 декабря 2020 года. Без прокси. Россия, Москва.
Как Data Science специалист я просто фигею от такого палева :)))
Яндекс:
WraithOW
Вариант, что яндексом и гуглом пользуются разные слои населения, и у них разные популярные запросы, вы не рассматриваете?
delhi_heir
Неужели республиканцы тогда были за Каддафи?!
Или
что совой об пень, что пнём об сову, все равно совушке не житьчто демократы, что республиканцы, все равно Каддафи было не жить?tester12
Barnaby
А что было 23 декабря 2020 года?
denisshabr
Ну как обычно, то что можно крупняку Google/Apple/Amazon, нельзя другим.
На youtube/facebook тонны нежелательного контента, который даже тысячи модераторов никогда не отмодерируют. Но не заблокируют же они сами себя или друг друга.
mithdradates
Ну что вы, просто откройте свой абузоустойчивый дц, сделайте свой поисковик, свою линейку смартфонов со своим магазином приложений и всё. Ну если заблокируют, то ещё свой впн сделайте. А если запретят импорт ваших смартов, то свою страну создайте, а лучше новую планету колонизируйте. Что сложного? Корпорации — добро, нельзя их регулировать, а поправки двух вековой давности абсолютно релевантны с нынешними технологиями.
vladvul
@персональные документы пользователей (сканы водительских удостоверений и номера соцстрахования), которые они предоставляли для подтверждения своего аккаунта. @
не знаешь кто хуже — Амазон или Парлер.
Какого хрена они запрашивали у пользователей персданные когда знали о возможности их травли в случае деанона?
61brg
Вне зависимости от того что послужило причиной появления возможности скачать данные Parler — это несанкционированный доступ. По законам РФ -это уголовное преступление. Полагаю, что у пиндосов точно так же. По хорошему, многие должны сесть.
YMA
Самое забавное будет, если через некоторое время (4-8-12 лет) всплывет база пользователей, участвовавших в несанкционированном доступе к данным. И их, в свою очередь, деанонят активисты с другой стороны…
Vinchi
Не нашел ссылку на скачанный архив. Есть просто список урлов на parler.com с дат наезда на сеть, т.е. несколько дней. Вобщем статья так себе, работы журналиста я тут не вижу. Где пруфы по поводу терабайтов?
Darlock_Ahe
Ответ Амазона, с примерами "добрых" постов, которые Парлер отказался удалять. Ну совсем бе зпричины отключили (sarcasm off)
Wesha
(читая доумент) [кашель_Лаврова.JPG]: Парлер хранил данные на серверах Амазона в виде открытого текста… А в условиях Амазона — "клиент не имеет права хранить у нас на серверах призывы к насилию и т.п."
Парлеру достаточно было поXORить эти данные с каким-нибудь простейшим ключиком — и амазон за… трахался бы доказывать, что то, что хранится у них на сервере — это именно призывы к насилию, а не случайный набор байтиков (а SQL поиск по XORенным данным всё равно работал бы).
Nick_Shl
Деньги заплачены? Всё, оказывайте услугу! Если "нежелательный контент" является противозаконным — пищите заявление в правоохранительные органы. Если он законный — это не ваше дело, ваше дело предоставить хостинг за деньги.
iiwabor
И даже если Парлер подаст в суд на тех, кто разрушил компанию, то он его гарантированно проиграет, т.к. он уже признан большими дядями из Google/Apple/Amazon и т.д. и Сената США во всем виновным