В коде Twitter нашли уязвимость, провоцирующую «теневой бан» жертвы

Недавно компания Twitter выполнила обещание, данное Илоном Маском, и опубликовала на GitHub исходный код своего рекомендательного алгоритма. Изучением исходников тут же занялись многочисленные исследователи, и теперь одной их обнаруженных ими проблем присвоили идентификатор CVE. Уязвимость позволяет добиться «теневого бана» жертвы, то есть чужая учетная запись будет скрыта от других «без права регресса».

Проблема была обнаружена Федерико Андресом Лоисом (Federico Andres Lois) во время изучения рекомендательного механизма, который, обеспечивает в Twitter работу раздела For You («Для вас»). Согласно исследованию, к «теневому бану» любого аккаунта, который вряд ли удастся преодолеть, могут привести скоординированные усилия других пользователей. Чтобы жертва получила масштабные репутационные штрафы, достаточно отписываться от нее, включать mute для этого аккаунта, блокировать его или сообщать о нарушениях.


По словам Лоиса, нынешний алгоритм рекомендаций в Twitter «позволяет нанести скоординированный ущерб репутации [любого] аккаунта без права регресса». Этой проблеме уже был присвоен идентификатор CVE-2023-23218.

Получается, что любые учетные записи, которые подверглись массовой блокировке и отпискам, получают «теневой бан», и не будут отображаться в рекомендациях других людей, тогда как владелец пострадавшего аккаунта даже не узнает о наложенных на него ограничениях. При этом исследователь отмечает, что исправить такой бан, похоже, попросту нельзя.

Лоис пишет, что такие приложения, как Block Party, которые позволяют пользователям Twitter массово фильтровать учетные записи, по сути, являются инструментами, которые (преднамеренно или нет) оказывают аналогичное влияние на пользователей.

Многие пользователи Twitter уже заговорили о том, что ошибка может использоваться многочисленными армиями ботов на платформе. Когда один из пользователей Twitter предложил Маску решить проблему, разрешив mute, блокировку и жалобы только для пользователей Twitter «с синей галочкой», Маск ответил, что он хочет знать, «кто стоит за этими ботнетами».

«Глобальные штрафы не должны применяться, потому что их можно довольно легко обмануть, все штрафы (если они есть) должны применяться на уровне контента», — пишет Лоис.

Однако это потребует от Twitter наличия команды модераторов, а они, похоже, были массово уволены вместе с другим персоналом, когда Маск возглавил компанию в ноябре прошлого года.

Другим очевидным решением проблемы могло бы стать использование энтропии времени для негативных сигналов, но, по словам Лоиса, структура рекомендательного алгоритма Twitter позволяет легко преодолеть и это. Например, путем многократной подписки/отписки от конкретных аккаунтов каждые 90 дней. «Такую тактику можно использовать бесконечно», — говорит эксперт.

11.04.2023
https://xakep.ru/2023/04/11/twitter-shadow-ban/​