.
O pedaço de código-fonte interno que o Twitter lançou na outra semana contém uma vulnerabilidade de “banimento de sombra” séria o suficiente para ganhar seu próprio CVE, pois pode ser explorada para enterrar a conta de visão de alguém “sem recurso”.
O problema foi descoberto por Federico Andres Lois enquanto revisava o mecanismo de recomendação de tweets que alimenta a linha do tempo For You do Twitter. Este sistema foi tornou-se público pelo Twitter em 31 de março, adicionando às bibliotecas de software de código aberto já lançado ao longo dos anos, muito antes de Elon Musk assumir.
Que motor de recomendaçãogostaríamos de observar rapidamente, parece mais um curiosidade do que qualquer outra coisa: embora mostre quais tipos de tweets e engajamento são considerados importantes ou prejudiciais para o Twitter, não temos certeza de que haja o suficiente para fazer algo extremamente prático com ele, em termos de construir sua própria rede social ou oferecer para melhorar a rede social de Elon. . É mais molho de marketing do que código aberto.
De acordo com Lois estudo do bug do motor ele descobriu, esforços coordenados para deixar de seguir, silenciar, bloquear e/ou denunciar um usuário-alvo aplica penalidades de reputação global à conta que são praticamente impossíveis de superar com base em como o algoritmo de recomendação do Twitter guloseimas ações negativas.
Como resultado, disse Lois, o atual algoritmo de recomendação do Twitter “permite danos coordenados à reputação da conta sem recurso”. Mitre atribuiu CVE-2023-23218 à questão.
Como esse bug está no algoritmo de recomendação do Twitter, isso significa que as contas que foram sujeitas a bloqueio em massa são essencialmente “banidas de sombra” e não aparecerão nas recomendações, apesar de o usuário não saber que foi penalizado. Parece não haver maneira de corrigir esse tipo de ação e, idealmente, não deveria ser possível manipular o sistema dessa maneira, mas é.
Lois apontou vários exemplos de usuários do Twitter incentivando seguir e deixar de seguir em massa, bloqueio e outras ações que têm peso desproporcionalmente negativo em contas-alvo como exemplos de que o comportamento está sendo explorado em estado selvagem. Lois também disse que aplicativos como Bloqueioque permitem aos usuários do Twitter filtrar contas em massa, são ferramentas formalizadas que – intencionais ou não – acabam tendo o mesmo efeito em usuários que entram em conflito com listas de bloqueio.
Vários usuários do Twitter disseram que o bug poderia ser explorado por exércitos de botnets, e não demorou muito para o proprietário do Twitter, Elon Musk, perceber o cheiro de sua conspiração favorita no Twitter.
Quando um usuário do Twitter sugeriu que Musk deveria corrigir o problema, permitindo apenas silenciar, bloquear e relatar usuários do Twitter com uma marca de seleção azul para afetar o algoritmo, Musk twittou que queria saber “quem está por trás dessas botnets”.
“Recompensa de um milhão de dólares se for condenado”, Musk disse, embora o significado de convicção seja uma incógnita. Também não se apresse em provar a existência dessas botnets – se Musk não pode nem pagar um nota de $ 7.000 por uma bolsa de brindes, é improvável que ele vá distribuir um milhão legal para um usuário do Twitter que afirma ter provas de uma conspiração de botnet.
Pedimos ao Twitter um comentário sobre o tweet de Musk e alguns outros aspectos desta história, e não recebemos uma resposta séria, apenas um emoji de cocô como esperado.
“Nenhuma penalidade global deve ser aplicada porque você pode jogá-los facilmente, todas as penalidades (se houver) devem ser aplicadas no nível do conteúdo”, Lois apontou na parte “comportamento esperado” de seu relatório de bug.
Isso, é claro, exigiria que o Twitter tivesse um equipe de moderaçãoo que provavelmente machado junto com a maior parte da equipe do Twitter quando Musk assumiu em novembro do ano passado.
A outra correção óbvia seria a aplicação de entropia de tempo em sinais negativos, embora Lois tenha dito que a estrutura do algoritmo de recomendação do Twitter permitiria que esse tipo de recurso fosse facilmente superado seguindo/parando de seguir contas repetidamente a cada 90 dias, por exemplo.
“Essa tática pode ser repetida indefinidamente”, disse Lois. ®
.
