ProPublica: WhatsApp после жалоб пользователей отдаёт незашифрованные сообщения на проверку подрядчику Статьи редакции

Согласно расследованию, каждый модератор за смену должен изучить не менее 600 жалоб. Им платят по $16,5 в час.

Мессенджер WhatsApp использует через подрядчика Accenture не менее тысячи модераторов для проверки сообщений, на который пожаловались пользователи, снимая для этого сквозное шифрование. Об этом говорится в расследовании некоммерческой организации ProPublica.

ProPublica выяснила, что офисы модераторов расположены в американском городе Остине штата Техас, в ирландском Дублине и Сингапуре. Представитель WhatsApp по связям с общественностью Карл Вуг подтвердил наличие офиса в США. Он уточнил, что компания предпочитает не употреблять слово «модераторы», так как эти сотрудники занимаются «предотвращением злоупотреблений».

По данным НКО, после жалобы на нарушающий правила мессенджера контент сообщение и предшествующие ему сначала передаются в незашифрованном виде для проверки искусственному интеллекту, а только потом модератору.

Модераторы менее чем за минуту выносят решение о том, что именно есть в сообщении: мошенничество, спам, детская порнография или террористический заговор.

ProPublica

ProPublica также выяснила, что WhatsApp не распространяет настройки приватности на метаданные: информацию о количестве сообщений, времени их отправки, продолжительности и времени звонков. Расследовали выяснили, что такие данные помогли прокурорам построить обвинение против сотрудника Минфина США.

НКО обратила внимание, что глава Facebook Марк Цукерберг неоднократно заявлял, что сообщения мессенджера им не видны. Об этом он в том числе говорил во время показаний в Сенате в 2018 году.

Бывший директор по безопасности Facebook Алекс Стэймос в Twitter раскритиковал статью ProPublica, назвав её «ужасной».

Он отметил, что «75% статьи были бы нормальными», если бы не её скандальность. По его словам, нельзя говорить о несоответствии между заявлениями о безопасности данных пользователей и проверке незашифрованных сообщений.

Проверяют лишь сообщения, на которые пользователь пожаловался самостоятельно. При этом при отправке жалобы пользователь получает уведомление, что данные перенаправят в WhatsApp и соглашается поделиться им, поэтому здесь нет нарушения конфиденциальности.

0
97 комментариев
Написать комментарий...
Влад Дементьев

кто пользуется ВатсАпп в 2021 году? Бабушки с открытками, семьи? Есть же куча альтернатив, тот же Телеграм

upd: я не говорю, о том что телеграм лучше в разы, но ватсап со всеми его дырами отдыхает, есть куча новостей, что найдена уязвимость, баг, ватсап опять какую то херню придумал, лол

Ответить
Развернуть ветку
Роман?

Началось, блин. Свидетели святого Телеграма.

Ответить
Развернуть ветку
Влад Дементьев

да, в чем проблема? преимущества в очередной раз не хочу говорить

Ответить
Развернуть ветку
Роман?

Вопрос не в преимуществах, а в пренебрежительном тоне и наивной уверенности, что данные из телеги никуда не сливаются. 

Ответить
Развернуть ветку
Ivan

Обычные чаты держатся только на доброй воле Дурова.

В секретных чатах содержимое сообщений в безопасности. Это самое популярное приложение с открытым исходным кодом и сквозным шифрованием. Такая популярность дает уверенность, что огромное количество глаз безопасников приковано к телеге. Он уже прошел проверку временем.

Ответить
Развернуть ветку
Гала Перидоловна

Да, да. Еще был такой месседжер ANOM. Сверх безопасный был. Проверенный временем. 3 года проверяли.

Ответить
Развернуть ветку
Ivan

Смешно. Клиент-серверный мессенджер с 12к пользователей.

Я не просто так написал про безопасную связку открытый код и популярность. Ноунейм приложениям никогда не будет уделено столько внимания, как уделяют телеграму и сигналу. Сегодня только эти 2 приложения могут считаться безопасными.

Ответить
Развернуть ветку
Павел Сутырин

От имени канала Дурова мне ответили, что старый вопрос с небезопасной серверной солью для приватных чатов (по запросу с сервера делающий их чуть менее приватными) якобы решён, но разве мы знаем детали?.. =)

В чем фишка новых собственных алгоритмов шифрования имени Николая Дурова? В них можно заложить дыры, которые не сразу будут видны специалистам, тогда как алгоритмы в целом будут выглядеть безопасно) Так было с этой солью, а с чем до сих пор так?

Ответить
Развернуть ветку
Гала Перидоловна

Не, Николай Дуров никаких алгоритмов не создавал. Если судить по открытой части исходников, то там SHA-256 и AES. AES на текущий момент считается постквантовым. Т.е. не существует такого способа атаки, который бы мог быть выполнен на квантовом компьютере в разумное время. Но скорее всего это тоже дело времени и атаку придумают. Еще используется Диффи-Хеллман - это согласование ключей между клиентами. Вот тут исходники не читал, но у меня есть сомнения, что клиенты согласуют части ключа без использования сервера, т.к. большинство клиентов сидят за натом. Теоретически DH позволяет исключить возможность расшифровки, но на практике вполне вероятно, что ключи могут логгироваться.

Ответить
Развернуть ветку
Гала Перидоловна

 > Я не просто так написал про безопасную связку открытый код и популярность.

Вам уже писали, что открытый код только у клиентов и есть спеки протокола. В остальном телеграм является черным ящиком.

 Ноунейм приложениям никогда не будет уделено столько внимания, как уделяют телеграму и сигналу.

Ну уделят и что? Где уверенность в том, что все закладки будут найдены? С RSA такое уже было https://www.theverge.com/2013/12/20/5231006/nsa-paid-10-million-for-a-back-door-into-rsa-encryption-according-to

 Сегодня только эти 2 приложения могут считаться безопасными.

Сегодня ни одно приложение не может считаться безопасным, т.к. клиенты хранят данных на сторадже устройства. Атакующий при желании вполне может слить переписку с самого устройства.

Ответить
Развернуть ветку
94 комментария
Раскрывать всегда