Увековечим
Я в развлекательных целях наблюдаю за драмой, связанной с покупкой Маском Твиттера, вот как некоторые сериалы смотрят. Интересной инфы накопилось много, так что подумала, может, и вам будет любопытно?
Как вы знаете, Маск слил данные о цензуре Трампа\республиканцев и связях с Демпартией, но мне это не сильно интересно - это и так было понятно. Там несколько другие бездны раскрылись. Напишу без особого порядка, как вспомнилось, если понадобятся ссылки с пруфами - ну, надеюсь, вспомню, где видела, и найду.
1. Основная власть и влияние в Твиттере были у подразделения, которое называлось Department of Trust and Safety, который вместо заботы о безопасности пользователей, занимался цензурой. Глава департамента Yoel Roth пережил первоначальную чистку Твиттера, затеянную Маском сразу по приобретении, но недавно был уволен лично. Этот Йоэль Рот известен тем, что открытый гей и люто ненавидит детей, о чем регулярно пишет. По его словам, крики младенцев напоминают ему звуки из порно, что наводит на мысли, что за порно он смотрит, что его можно перепутать с детским плачем. Помимо официального акка в Твиттере у него есть "грязный", где он публикует всякое околосексуальное, голожопые селфи, флиртует и т.д. Недавно всплыло, что фигурант довольно яростно топил за возможность взрослых спать с несовершеннолетними, в том числе в своей докторской диссертации писал о том, что неплохо бы разрешить учителям спать с подопечными учениками, если это безопасно и приносит удовольствие обеим сторонам.
Огромная претензия к его департаменту в том, что в Твиттере довольно много детского порно. Некоторые ролики, несмотря на просьбы несовершеннолетних, снятых в этих видео, убрать их из общего доступа, болтались в онлайне годами. У отдельных роликов более 10 млн просмотров. Кроме того, педофильская тусовка чувствовала себя на платформе довольно привольно, сколотив сообщество со своими хэштэгами для лучшего поиска и контакта. О Маске многое можно сказать, но детей у него много и он их любит, так что первое, чем он занялся - чисткой этой клоаки. Забавно, что под большую педофильскую чистку (по хэштэгам в т.ч.) попали много аккаунтов антифы - оказались пересекающимися множествами. Сначала поднялся вой о том, что это попрание свободы слова и политическое давление, но потом быстро стих, когда стало понятно, по каким критериям шли баны. Один из этих забаненных договорился до того, что секс с младенцем до года - хорошо и правильно, если младенцу не наносится физический ущерб.
В составе департамента цензуры было аномальное количество небинарных личностей и трансгендеров, судя по всему.
2. В Твиттере был сильнейший расслабон. Некоторые сотрудники признавались, что собственно рабочими делами занимались примерно часа 4 в неделю. В зданиях было много всяких закутков типа комнат для йоги и медитаций (в последних занимались сексом в рамках служебных романов), игр, баров, на крыше главного офиса - солярий с шезлонгами и краники с винищем, которое можно было употреблять в любое время и в любых количествах. В общем, похоже на дом отдыха, только еще и платят шестизначные суммы в долларах в год.
3. В Твиттере не было разделения сред на development/test/staging/production, как это обычно бывает. По меньшей мере у 5 тысяч сотрудников из примерно 11 тыс общего поголовья был привилегированный доступ к проду. Инженеры строили, тестировали и разрабатывали новое прямо на проде с доступом к живым пользовательским данным и другой чувствительной информации. Ясное дело, такое тотальное отсутствие инженерной гигиены приводило к сбоям, проблемам, большей уязвимости для взломов, и отпугивало некоторых более ответственных сотрудников и претендентов.
4. Твиттер совсем не мониторил рабочие компьютеры сотрудников. Обычным делом было ставить всё, что вздумается, некоторых сотрудников многократно ловили на том, что они сознательно ставили на рабочие машины spyware по просьбе внешних организаций. Узнавали об этом случайно. На большинстве рабочих компьютеров были отключены обновления софта, файерволлы, на них были понаставлены всякие удаленные доступы к десктопу. Судя по всему, внешние организации (см. spyware) имели лучшее представление о том, что происходит в компьютерах сотрудников, чем корп руководство.
5. Как следствие 3 и 4, у Твиттера были серьезнейшие сбои и залёты, до такой степени, что вести об инцидентах с безопасностью доходили до надзорных правительственных агентсв США и других стран каждую неделю. В 2020 серьезных инцидентов было 40. В 2017 была взломана компания Эквифакс, и данные 147 млн пользователей были скомпрометированы. За это им вкатили 575 млн долларов штрафа. В Твиттере взломов было много, данные как минимум 200 млн пользователей и 20 тысяч бывших и текущих сотрудников (переписка, пароли, данные кредитных карт и т.д.) скомпрометированы, и всё заметено под ковёр, а техдир-индус Агравал в прессе врал, что всё хорошо и надежно защищено, не беспокойтесь, граждане.
6. Есть такой жизненный цикл разработки программного обеспечения (ЖЦРПО). Твиттер был обязан его внедрить в 2011, в 2021 Агравал всё еще представлял нарядные презентации о своих усилиях по этой части совету директоров. На практике ничего сделано не было. Совсем-совсем ничего.
7. Когда 6 января в Вашингтоне грянул бугурт с протестующими в Конгрессе, ответственные сотрудники спохватились, не может ли какой-нибудь сотрудник затеять противоправные действия в их поддержку на Твиттер платформе, ну или сломать всё на проде. Выяснилось, что защитить прод невозможно: у всех инженеров есть доступ ко всему, включая самое критическое, никакого логирования кто куда лезет и что там делает - не ведётся. Где какие данные хранятся и насколько они критичны - тоже туманно и толком непонятно. Теперь, кстати, понятно, почему Маск действовал так резко: физически закрыл доступ в помещения компании всем без исключения сотрудникам в день чисток, а сотрудникам на удаленке то ли вайпнул, то ли заблокировал их компьютеры.
8. Вдобавок к упомянутому выше куче бесконтрольного народа с доступами и отсутствию логирования в Твиттерской архитектуре то и дело что-то отключалось - из-за плохого накатывания нового софта, из-за того, что большинство систем в их датацентрах работало на устаревшем софте, который уже не поддерживался вендорами или из-за того, что взаимодействие датацентров было забаговано и работало нештатно. Каскад таких отключений мог привести к отключению Твиттера на недели или месяцы, или в худшем случае навсегда, с потерей всех данных. Инженер, которому было больше всех надо, и который пошел к совету директоров и доложил об этом риске и еще всяком, уволили. В 2021 такой каскад случился, адскими усилиями и работой сутками удалось его остановить, не допустив наихудших вариантов.
9. Тот самый инженер, которого уволили после доклада о всяком (совет директоров понял, что Агравал вешал им на уши лапшу насчет своих усилий, Агравалу было неприятненько), докладывал еще вот что. Во-первых, в их систему привилегированного доступа для инженеров регулярно кто-то долбился, 1500-3000 неверных попыток логина в сутки в среднем. Я в кибербезопасности не шарю, но понимаю, что это тревожный звоночек. Инженер доложил об этом техдиру Агравалу, тот махнул рукой, ничего не сделал и никого не назначил проверить, что там творится.
10. В Твиттере до сих пор по меньшей мере 300 корпоративных систем и более 10 тыс сервисов уязвимы для log4j. Об уязвимости стало известно год назад, шуму было много и суетились все! Только в Твиттере никуда не торопятся, лол.
11. Ключевые алгоритмы Твиттера - например, тот, который решает, какие твиты показывать пользователю, работает на основе материалов машинного обучения, на которые у Твиттера нет ни лицензии, ни легальных прав. Много лет об этом говорилось, но так и не озаботились.
12. Индийское правительство заставляло Твиттер нанимать выбранных ими личностей, видимо, специально обученных агентов? Они получали полный доступ ко всем данным пользователей из_за дурацкой архитектуры безопасности Твиттера. Что интересно, один из таких индийских деятелей агитировал руководство за то, чтобы подчиниться требованиям законодательства РФ (насчет хранения личных данных пользователей в российских датацентрах, видимо) - ради расширения пользовательской базы в РФ. Также, что характерно, Маск во время первичной чистки уволил контингент филиала Твиттера в Индии в полном составе.
13. Свеженанятые сотрудники получили доступ к куче данных, которые им для выполнения их обязанностей вовсе не нужны были. Потому что у Твиттера не было централизованной системы пользовательских ролей доступа, аудитов необходимых доступов и т.д.
14. Твиттер не делал бэкапов рабочих компьютеров и ноутбуков. У них раньше была самопальная система резервного копирования, но она была глючная и сбоила. Потом она упала совсем. Когда об этом доложили руководству, некоторые из руководства высказалось в духе "ну и хорошо, мы теперь можем не отвечать на запросы регуляторов" и систему бэкапов просто списали и восстанавливать не стали.
15. Обходя главное корпоративное здание, Маск нашел на складе тысячи футболок со слоганом #STAYWOKE. Прокомментировал что-то в роде "На это у них время есть!"
16. После публикации Маском файлов о цензуре в Твиттере он должен был выступать с какими-то комиками на мероприятии в Сан-Франциско. Подозреваю, что туда сбежались все уволенные и им сочувствующие, потому что публика кричала boo и свистела на него минут 10, он так и не смог ничего сказать. Он и до этого упоминал, что симпатизировать респам в Сан-Франциско может быть просто опасно, а теперь явно ненависть еще сильнее накалилась.
17. Маск распродает всякое барахло из корпоративного центра в Сан-Франциско. За копейки! Профессиональная кофемашина из нержавейки с тремя рожками для налива кофе - $25, например. Ах, какие там по двадцатке шезлонги, обтянутые бежевой телячьей кожей! Я бы купила прямо аж бегом, шикарная вещь, ассоциации с Великим Гэтсби вызывает. :) Думаю, Маск в Техас будет корпоративный центр переносить, сдался ему тот Сан-Франциско? Его там ненавидят, налоги в Калифорнии уруру, да ещё и орды бомжей и наркоманов вокруг офиса.
Вот пока и всё, что из интересного вспомнилось. Если вспомню ещё - допишу! :)
Как вы знаете, Маск слил данные о цензуре Трампа\республиканцев и связях с Демпартией, но мне это не сильно интересно - это и так было понятно. Там несколько другие бездны раскрылись. Напишу без особого порядка, как вспомнилось, если понадобятся ссылки с пруфами - ну, надеюсь, вспомню, где видела, и найду.
1. Основная власть и влияние в Твиттере были у подразделения, которое называлось Department of Trust and Safety, который вместо заботы о безопасности пользователей, занимался цензурой. Глава департамента Yoel Roth пережил первоначальную чистку Твиттера, затеянную Маском сразу по приобретении, но недавно был уволен лично. Этот Йоэль Рот известен тем, что открытый гей и люто ненавидит детей, о чем регулярно пишет. По его словам, крики младенцев напоминают ему звуки из порно, что наводит на мысли, что за порно он смотрит, что его можно перепутать с детским плачем. Помимо официального акка в Твиттере у него есть "грязный", где он публикует всякое околосексуальное, голожопые селфи, флиртует и т.д. Недавно всплыло, что фигурант довольно яростно топил за возможность взрослых спать с несовершеннолетними, в том числе в своей докторской диссертации писал о том, что неплохо бы разрешить учителям спать с подопечными учениками, если это безопасно и приносит удовольствие обеим сторонам.
Огромная претензия к его департаменту в том, что в Твиттере довольно много детского порно. Некоторые ролики, несмотря на просьбы несовершеннолетних, снятых в этих видео, убрать их из общего доступа, болтались в онлайне годами. У отдельных роликов более 10 млн просмотров. Кроме того, педофильская тусовка чувствовала себя на платформе довольно привольно, сколотив сообщество со своими хэштэгами для лучшего поиска и контакта. О Маске многое можно сказать, но детей у него много и он их любит, так что первое, чем он занялся - чисткой этой клоаки. Забавно, что под большую педофильскую чистку (по хэштэгам в т.ч.) попали много аккаунтов антифы - оказались пересекающимися множествами. Сначала поднялся вой о том, что это попрание свободы слова и политическое давление, но потом быстро стих, когда стало понятно, по каким критериям шли баны. Один из этих забаненных договорился до того, что секс с младенцем до года - хорошо и правильно, если младенцу не наносится физический ущерб.
В составе департамента цензуры было аномальное количество небинарных личностей и трансгендеров, судя по всему.
2. В Твиттере был сильнейший расслабон. Некоторые сотрудники признавались, что собственно рабочими делами занимались примерно часа 4 в неделю. В зданиях было много всяких закутков типа комнат для йоги и медитаций (в последних занимались сексом в рамках служебных романов), игр, баров, на крыше главного офиса - солярий с шезлонгами и краники с винищем, которое можно было употреблять в любое время и в любых количествах. В общем, похоже на дом отдыха, только еще и платят шестизначные суммы в долларах в год.
3. В Твиттере не было разделения сред на development/test/staging/production, как это обычно бывает. По меньшей мере у 5 тысяч сотрудников из примерно 11 тыс общего поголовья был привилегированный доступ к проду. Инженеры строили, тестировали и разрабатывали новое прямо на проде с доступом к живым пользовательским данным и другой чувствительной информации. Ясное дело, такое тотальное отсутствие инженерной гигиены приводило к сбоям, проблемам, большей уязвимости для взломов, и отпугивало некоторых более ответственных сотрудников и претендентов.
4. Твиттер совсем не мониторил рабочие компьютеры сотрудников. Обычным делом было ставить всё, что вздумается, некоторых сотрудников многократно ловили на том, что они сознательно ставили на рабочие машины spyware по просьбе внешних организаций. Узнавали об этом случайно. На большинстве рабочих компьютеров были отключены обновления софта, файерволлы, на них были понаставлены всякие удаленные доступы к десктопу. Судя по всему, внешние организации (см. spyware) имели лучшее представление о том, что происходит в компьютерах сотрудников, чем корп руководство.
5. Как следствие 3 и 4, у Твиттера были серьезнейшие сбои и залёты, до такой степени, что вести об инцидентах с безопасностью доходили до надзорных правительственных агентсв США и других стран каждую неделю. В 2020 серьезных инцидентов было 40. В 2017 была взломана компания Эквифакс, и данные 147 млн пользователей были скомпрометированы. За это им вкатили 575 млн долларов штрафа. В Твиттере взломов было много, данные как минимум 200 млн пользователей и 20 тысяч бывших и текущих сотрудников (переписка, пароли, данные кредитных карт и т.д.) скомпрометированы, и всё заметено под ковёр, а техдир-индус Агравал в прессе врал, что всё хорошо и надежно защищено, не беспокойтесь, граждане.
6. Есть такой жизненный цикл разработки программного обеспечения (ЖЦРПО). Твиттер был обязан его внедрить в 2011, в 2021 Агравал всё еще представлял нарядные презентации о своих усилиях по этой части совету директоров. На практике ничего сделано не было. Совсем-совсем ничего.
7. Когда 6 января в Вашингтоне грянул бугурт с протестующими в Конгрессе, ответственные сотрудники спохватились, не может ли какой-нибудь сотрудник затеять противоправные действия в их поддержку на Твиттер платформе, ну или сломать всё на проде. Выяснилось, что защитить прод невозможно: у всех инженеров есть доступ ко всему, включая самое критическое, никакого логирования кто куда лезет и что там делает - не ведётся. Где какие данные хранятся и насколько они критичны - тоже туманно и толком непонятно. Теперь, кстати, понятно, почему Маск действовал так резко: физически закрыл доступ в помещения компании всем без исключения сотрудникам в день чисток, а сотрудникам на удаленке то ли вайпнул, то ли заблокировал их компьютеры.
8. Вдобавок к упомянутому выше куче бесконтрольного народа с доступами и отсутствию логирования в Твиттерской архитектуре то и дело что-то отключалось - из-за плохого накатывания нового софта, из-за того, что большинство систем в их датацентрах работало на устаревшем софте, который уже не поддерживался вендорами или из-за того, что взаимодействие датацентров было забаговано и работало нештатно. Каскад таких отключений мог привести к отключению Твиттера на недели или месяцы, или в худшем случае навсегда, с потерей всех данных. Инженер, которому было больше всех надо, и который пошел к совету директоров и доложил об этом риске и еще всяком, уволили. В 2021 такой каскад случился, адскими усилиями и работой сутками удалось его остановить, не допустив наихудших вариантов.
9. Тот самый инженер, которого уволили после доклада о всяком (совет директоров понял, что Агравал вешал им на уши лапшу насчет своих усилий, Агравалу было неприятненько), докладывал еще вот что. Во-первых, в их систему привилегированного доступа для инженеров регулярно кто-то долбился, 1500-3000 неверных попыток логина в сутки в среднем. Я в кибербезопасности не шарю, но понимаю, что это тревожный звоночек. Инженер доложил об этом техдиру Агравалу, тот махнул рукой, ничего не сделал и никого не назначил проверить, что там творится.
10. В Твиттере до сих пор по меньшей мере 300 корпоративных систем и более 10 тыс сервисов уязвимы для log4j. Об уязвимости стало известно год назад, шуму было много и суетились все! Только в Твиттере никуда не торопятся, лол.
11. Ключевые алгоритмы Твиттера - например, тот, который решает, какие твиты показывать пользователю, работает на основе материалов машинного обучения, на которые у Твиттера нет ни лицензии, ни легальных прав. Много лет об этом говорилось, но так и не озаботились.
12. Индийское правительство заставляло Твиттер нанимать выбранных ими личностей, видимо, специально обученных агентов? Они получали полный доступ ко всем данным пользователей из_за дурацкой архитектуры безопасности Твиттера. Что интересно, один из таких индийских деятелей агитировал руководство за то, чтобы подчиниться требованиям законодательства РФ (насчет хранения личных данных пользователей в российских датацентрах, видимо) - ради расширения пользовательской базы в РФ. Также, что характерно, Маск во время первичной чистки уволил контингент филиала Твиттера в Индии в полном составе.
13. Свеженанятые сотрудники получили доступ к куче данных, которые им для выполнения их обязанностей вовсе не нужны были. Потому что у Твиттера не было централизованной системы пользовательских ролей доступа, аудитов необходимых доступов и т.д.
14. Твиттер не делал бэкапов рабочих компьютеров и ноутбуков. У них раньше была самопальная система резервного копирования, но она была глючная и сбоила. Потом она упала совсем. Когда об этом доложили руководству, некоторые из руководства высказалось в духе "ну и хорошо, мы теперь можем не отвечать на запросы регуляторов" и систему бэкапов просто списали и восстанавливать не стали.
15. Обходя главное корпоративное здание, Маск нашел на складе тысячи футболок со слоганом #STAYWOKE. Прокомментировал что-то в роде "На это у них время есть!"
16. После публикации Маском файлов о цензуре в Твиттере он должен был выступать с какими-то комиками на мероприятии в Сан-Франциско. Подозреваю, что туда сбежались все уволенные и им сочувствующие, потому что публика кричала boo и свистела на него минут 10, он так и не смог ничего сказать. Он и до этого упоминал, что симпатизировать респам в Сан-Франциско может быть просто опасно, а теперь явно ненависть еще сильнее накалилась.
17. Маск распродает всякое барахло из корпоративного центра в Сан-Франциско. За копейки! Профессиональная кофемашина из нержавейки с тремя рожками для налива кофе - $25, например. Ах, какие там по двадцатке шезлонги, обтянутые бежевой телячьей кожей! Я бы купила прямо аж бегом, шикарная вещь, ассоциации с Великим Гэтсби вызывает. :) Думаю, Маск в Техас будет корпоративный центр переносить, сдался ему тот Сан-Франциско? Его там ненавидят, налоги в Калифорнии уруру, да ещё и орды бомжей и наркоманов вокруг офиса.
Вот пока и всё, что из интересного вспомнилось. Если вспомню ещё - допишу! :)