Пользователь
30,2
рейтинг
27 ноября 2013 в 19:29

Маркетинг → Хакеры ради смеха накрутили голоса в пользу Майли Сайрус на голосовании «Человек года» журнала Time



Вчера на сайте журнала Time началось голосование за звание «Человека года». Звание может получить тот, кто за минувший год своими поступками больше всех повлиял на человечество.

В первые сутки голосования казалось, что победу без проблем одержит Эдвард Сноуден. Количество поданных за него голосов в десять раз превышало количество голосов ближайшего конкурента. Однако, ночью с 26 на 27 ноября ситуация кардинально изменилась. На первое место вышла бывшая звезда детского телевидения DisneyTV, скандальная певица Майли Сайрус.

Сразу появились подозрения, что дело нечисто. Теперь ситуация начинает проясняться.

Оказывается, вчера вечером хакеры нашли уязвимость в движке голосования Time. Они обнаружили, что в голосовании можно использовать идентификаторы пользователей Facebook без их ведома, пишет журналист Daily Dot, который уже несколько лет специализируется на освещении накруток голосования Time.

После нахождения уязвимости двое программистов под никами Gains и Marek поспорили, за кого накрутить голоса. Это должен был быть какой-то прикольный аутсайдер. Marek хотел за братьев Царнаевых, которые на тот момент занимали 16-е место, а Gains — за Майли Сайрус, которая непонятно каким образом попала в список голосования и занимала 15-е место перед братьями. Аргументы за Сайрус сводились к тому, что это идеальный объект для лулзов: бывшая девочка с DisneyTV, которая сейчас по полной программе шокирует публику. Прикольнее всего, если выиграет именно она. Согласившись на этом, Gains и Marek написали скрипты на C# и Ruby — и запустили их с двух машин.



Голосование «Человек года» Time и раньше сопровождалось накрутками. Так, в 2012 году благодаря скриптам удалось вывести на первое место северокорейского президента Ким Чен Ына (опять же, ради смеха). Кстати, пресса КНДР восприняла это очень серьезно: официальное новостное агентство с пафосом сообщило известие о победе их лидера в голосовании журнала Time.

В 2009 году вышло ещё смешнее. Фанаты 4chan вывели на первое место бизнесмена и основателя форума 4chan, никому не известного Кристофера Пула (Christopher Poole). Естественно, редакция Time не признала его «человеком года», а выбрала Бена Бернанке. Но Пул всё равно стал знаменитым, его пригласили прочитать лекцию TED, а вскоре инвесторы дали $3 млн на его новый стартап Canvas.

В нынешнем году ситуация с накруткой может повториться. В течение суток весёлая певичка Майли уже вышла на первое место. Вот как выглядит таблица лидеров на эту минуту.



Правда, версия с накруткой голосов за Майли Сайрус не объясняет, почему Сноудена опередил индийский политик Нарендра Моди, который вчера тоже отставал от него в десять раз. Похоже на то, что голоса за Сноудена просто «испарились».

Сторонники Сноудена, тем временем, не сдаются. Через IRC-канал активисты Anonymous распространяют инструкцию, как голосовать повторно.

Голосование уже превратилось в фарс. Здесь нет ничего страшного, ведь результаты всё равно ничего не решают. Лауреат звания «Человек года» будет объявлен редакцией журнала Time без учёта голосования. Впрочем, это не останавливает активистов от попыток накрутки.
Анатолий Ализар @alizar
карма
749,5
рейтинг 30,2
Пользователь
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое Маркетинг

Комментарии (62)

  • 0
    Голосовалку починили или нет? Её вообще собираются чинить?
  • –24
    никому не известного Кристофера Пула (Christopher Poole).
    Это moot-то никому не известен?
    • +37
      Не все же на бордах сидят
    • +2
      Мне неизвестен, например. Как и Сайрус.
  • +67
    > Здесь нет ничего страшного, ведь результаты всё равно ничего не решают.

    Знакомая история. Где-то я это уже видел…
    • +7
      Надо, кстати, пропихнуть Майли Сайрус на следующие президентские выборы. Думаю, она справится лучше.
    • 0
      Ну вообще-то не совсем. В данном случае нет прямой голосовалки за человека года. Человека года по версии Time выбирают редакторы Time, а не всякие малолетки пришедшие за своих кумиров поболеть. Тут просто читателям предлагают угадать, кого выберут редакторы журнала, о чем прямо указано на странице голосования.
  • +2
    Какой-то профессиональный юмор
  • –1
    Сдаётся мне, остальные персоны тоже попали в Топ из-за флешмобов. Ну чем, например, известен Нарендра Моди, довольно рядовой провинциальный индийский политик? И с чего вдруг Башар Асад туда попал? Из-за гражданской войны, которую он допустил в своей стране?
    • +6
      с чего вдруг Башар Асад туда попал?
      Может, с того, что послужил причиной львиной доли международной активности
      с участием бо́льшей части крупнейших стран в 2013 году? То есть фактически
      во многом был катализатором курса международной политики этих самых крупнейших стран
  • +7
    официальное новостное агентство с пафосом сообщило известие о победе их лидера в голосовании журнала Time

    Ну да, я всё понимаю, в интернете нельзя без пруфов, тем более на Хабре. Но вот положа руку на сердце, вы сами-то в курсе чё там на скрине написано?
    • +13
      Сказали пруф, значит пруф.
      • +4
        Да всё, всё, молчу, там ведь чёрным по белому!
        • 0
          жаль, но оригинала статьи в инете нет…
          Вот сайт газеты за 19 декабря 2012, просмотрел все статьи, ничего похожего.
          www.kcna.co.jp/item/2012/201212/2012-12-19ee.html



          p.s. корейского не знаю :)
          • 0
            На английском об этом писал сам Тайм. Вполне возможно, что оригинал не переводили или удалили. Проверить лень, сайт Национального Новостного Агентства Северной Кореи в Корее Южной заблокирован, а расчехлять VPN не хочется. По картинке вроде действительно всё так.
          • НЛО прилетело и опубликовало эту надпись здесь
            • 0
              Эх, а я опирался на фразу 12/19/JUCHE101(2012) и ее не нашел. Пропала такая исследовательская работа :(
  • 0
    Отфильтровать по IP голоса и отсеять, делов-то.
    • 0
      Вы забываете про NAT.
      • +2
        Да всем по барабану, в принципе. Ну заблокируют один внешний айпи с 100500 голосов, ну потеряются при этом 100 реальных пользователей — накрученных-то в процентном соотношении больше! Да и не влияет это ни на что, можно и не фильтровать практически — сами решат, как уже неоднократно выше указали.
        • +2
          У некрупных провайдеров России, которые не могу позволить выдавать всем и каждому белые адреса за NAT может быть гораздо больше 100 человек…
          С другой стороны можно сделать для такого случая отдельную проверку, например текущее(пусть и приближенное) местоположение и город в аккаунте facebook
          • +1
            Ну вот на эти «больше 100» и забьют. Да и потом — если в логах был UserAgent, а у проги он не менялся, можно взять IP и затем просто отсеять всех с одинаковым UserAgent. Можно также стереть все голоса, которые были получены в период атаки — тоже соотношение реальных к фейковым мизерное.
            • +3
              можно взять IP и затем просто отсеять всех с одинаковым UserAgent

              Что-то мне подсказывает, что в этом случае под банхаммер попадут в первую очередь рядовые пользователи, которые имели несчастье вовремя обновить браузер.

              Ну и MrNobody все правильно сказал про NAT и провайдера. У моего прова мизерный пул, так что иногда по вечерам вместо страницы гугла приходится читать заглушку в стиле «из вашей сети идут атаки, приходите завтра». Я теперь, конечно, могу похвастаться нотариально заверенными скриншотами того, что меня забанили в гугле, но иногда это реально бесит. И ведь не какая-то деревня Печного уезда — DC2.
            • 0
              Во всех случаях под раздачу попадают честные юзеры. А авторы могли менять UserAgent и прокси-сервер после 50 атак, например.
              • НЛО прилетело и опубликовало эту надпись здесь
              • 0
                Да я не говорю про ограничение доступа к сайту =) Я говорю о самом простом способе очистки статистики по голосованию. В этом ничего такого страшного нет, ну пропадёт в процессе удаления 10000 фейковых голосов даже 1000 реальных — максимум кто-нибудь удивится типа «Блин, про мой голос забыли». И то — можно будет переголосовать и всё станет опять ОК. В вопросе-то ничего реального не решалось, это просто угадайка такая, один фиг журнал сам выбирает.
  • 0
    Помнится тоже баловались с голосовалкой джумлы, curl, cmd файл и список прокси.
    Случайным образом, раз в 5-20 сек голосовали (иначе серверу плохело). Отдаваемая html страница с «конкурсом» полностью занимала >600Kb.
    Сервер пар раз полёг (видать трафика накрутили много на шареде) в итоге неспешно около 50к голосов сделали ;)
  • +3
    Странно, что вообще появляются новости про «голосование в интернете».
  • 0
    Все более-менее медиазначимые интернет-голосования всегда накручивают. Поэтому их можно воспринимать исключительно как открытые соревнования по накрутке.
    Помню, в своё время, премию Рунета крутили, для смены IP использовался скрипт переподключения ADSL-сессии, этого оказалось достаточно.
  • +1
    Если давать возможность голосовать великому Анонимусу, любое голосование теряет смысл.
  • +1
    Интересно, что, даже при наличии постоянного отслеживания накруток этого голосования, программисты сайта не сделали железобетонную защиту.

    В конце-концов, анализировать можно столько параметров (в т.ч. и постфактум, просто сохранив все, что известно при подаче голоса, и фильтруя эти данные по мере открытия новых подробностей накруток текущего голосования), плюс, конечно, применяя «то самое действенное средство» (а именно не показывать результаты до завершения всего голосования — проверить накрутку становится куда сложнее) отфильтроваться вполне можно.

    Так что подача новости о том, что 2 «хакера» (скорее, программиста, вламываться-то они никуда не вламывались) накрутили что-то там выглядит как «хотели как лучше, но который год не смогли нормально сделать защиту», что ИТ-ников издания никак не красит.
    • +2
      2 «хакера» (скорее, программиста, вламываться-то они никуда не вламывались)
      ВНЕЗАПНО
      Хакер (англ. hacker, от to hack — рубить, кромсать) — слово, имеющее несколько значений:
      • Высококвалифицированный ИТ-специалист, человек, который понимает тонкости работы программ ЭВМ.
      • Изначально хакерами называли программистов, которые исправляли ошибки в программном обеспечении каким-либо быстрым и далеко не всегда элегантным (в контексте используемых в программе стиля программирования и её общей структуры, дизайна интерфейсов) или профессиональным способом; слово hack пришло из лексикона хиппи, в русском языке есть идентичное жаргонное слово «врубаться» или «рубить в ...». См. hacker (programmer subculture) и en:hacker (hobbyist).
      • В настоящее время наиболее широко известно значение «компьютерный взломщик» — крэкер (англ. cracker, от to crack — раскалывать, разламывать).
      ©
      • 0
        Это как-то влияет на суть моего комментария? Не говоря что толковых словарей существует множество — Вы slovari.yandex.ru/hacker/%D0%BF%D0%B5%D1%80%D0%B5%D0%B2%D0%BE%D0%B4/#lingvo/ посмотрите, скажем :)
        • +1
          Интересно, что ваша ссылка должна была дать? Там не толковый, а переводной словарь, и он переводит „hacker“ как «хакер».
          Это как-то влияет на суть моего комментария?
          Мало того, что хакер — это не только взломщик, так они ещё и «взломали» (получили неправомерный доступ к накрутке) систему голосования.
          • 0
            Вот мне нравится понятие «неправомерный» в таких случаях.

            Изменив отправляемые на сервер данные, они обошли некий механизм блокировки повторных голосований, так? Т.е. весь их «взлом» состоял в том, что набор данных был изменен неким образом, но подмены кода программ в памяти сервера я как-то в заметке не увидел. Как тогда трактовать «правомерность»? Давайте тогда введем подсудное понятие «головотяпство» за непроверку переданных клиентом данных. «Дома мы называем его Дропик», да :)

            Вы мне напоминаете уважаемых товарищей из отделов К, которые в свое время, когда не было повода посадить хакера за подбор пароля к некому логину для доступа по модему в интернет, навешивали ему обвинение в во взломе сервера доступа в смысле того, что он, подбирая пароли, оставлял записи в логах сервера, значит, его действиями файлы на диске сервера таки изменялись.
            • 0
              Теперь представим, что это было не просто голосование, а, скажем, выборы президента. Вы бы тогда тоже сказали, что это не неправомерное вмешательство в работу голосования?
              • 0
                Если в ваших терминах, то недоработка защиты от накрутки при выборах президента — это не головотяпство?

                Если Вы не закрыли окно в квартире, и прошедший дождь намочил Вам ковры — виноват дождь или Вы?
                • 0
                  Тут не дождь, а гуляющие школьники накидали в форточку снежков, прямо под козырёк от дождя. Там же не сами голоса накрутились.
                  • 0
                    И? Вы им дали так сделать, или они фомкой отжали форточку, и уже тогда славно покуражились, кидая снежки?

                    Вы считаете, что защита — это не для джентльменов? Я не говорю, что надо брать все, что плохо лежит, но если программа не умеет проверять граничные условия и при неверных входных данных неверно себя ведет — кто дурак?
                    • 0
                      «Дал» тем, что не запер форточку? Так и хипстер гопникам в подворотне «даёт» отжать айфон, в таком случае. Подошли да взяли, сам дал. Броник не одел, в тренажёрку не ходил, «ОСУ» не купил, айфон с собой таскал.
                      • 0
                        Давайте к терминам: см. slovari.yandex.ru/~%D0%BA%D0%BD%D0%B8%D0%B3%D0%B8/%D0%AD%D0%BB%D0%B5%D0%BC%D0%B5%D0%BD%D1%82%D0%B0%D1%80%D0%BD%D1%8B%D0%B5%20%D0%BD%D0%B0%D1%87%D0%B0%D0%BB%D0%B0%20%D0%BE%D0%B1%D1%89%D0%B5%D0%B9%20%D1%82%D0%B5%D0%BE%D1%80%D0%B8%D0%B8%20%D0%BF%D1%80%D0%B0%D0%B2%D0%B0/%D0%9F%D1%80%D0%B8%D0%B7%D0%BD%D0%B0%D0%BA%D0%B8%20%D0%BF%D1%80%D0%B0%D0%B2%D0%BE%D0%BC%D0%B5%D1%80%D0%BD%D0%BE%D0%B3%D0%BE%20%D0%BF%D0%BE%D0%B2%D0%B5%D0%B4%D0%B5%D0%BD%D0%B8%D1%8F/.

                        По поводу вопроса: не путайте неверно работающую программу, и разбойное нападение. Набор байтов не может быть законным или незаконным. Программу нужно писать правильно, проверки нужно делать, на неверные входные данные показывать ошибку.

                        Вы продавщицу в магазине, которая спросила у покупателя «сколько я Вам должна?» (а покупатель по ошибке, или в шутку. или даже для проверки ее IQ, выдал ей «100500 рублей»), и которая без проверки ответа побежала за этой суммой (к удивлению владельца магазина) — назовете нормальной, либо все же укажете, что думать и самой надо?
                        • 0
                          Этот путь — тупиковый. «А если я сервисный код на банкомате узнал, и тот мне денег ведро отсыпал — назовёте банкомат нормальным, или укажете, что думать он и сам должен?»
                          • 0
                            Вы проще посмотрите. Ребята написали браузер, через него заходят на страницу и голосуют за любимую, эту, как ее… ну, девушку эту… ну, вы поняли. Они ее, хм, просто любят, посему решили голосовать часто, чтобы она выиграла.

                            Программисты они оказались не ахти (а может, наоборот, слишком хорошие — так что случилось «горе от ума»), и накосячили в браузере так, что тот стал отправлять данные с ошибками. На выходе кол-во голосов поползло вверху куда сильнее, чем ребята думали.

                            Кого тут ругать? Они не нарушали никакого соглашения, они не выходили из рамок закона. Более того, они оказались, по факту, пожалуй, даже честнее тех людей, которые другому участнику голосования принудительно уменьшили кол-во полученных голосов.

                            Я привел один из вариантов трактовки — и он не хуже любого другого. Вы же зацепились за то, что парни получили эффект более того, что сам бы автор голосования для них ожидал — значит, виноваты перед законом, я правильно понимаю? Это вполне возможное мнение, но — не единственное, и, возможно, не (самое) верное.

                            Проверка входных данных — важна. С теми же выборами президента, скажем, если бы система голосования позволила вписать свой вариант (не из предложенного списка), и народ понаписал бы такого, что президентом стал бы некто другой, не находившийся в списке, я бы нашел в том вину создателей системы. Вы же, когда в сосуд (стакан, бидон) воду наливаете, проверяете, что он не дырявый, а если дырку видите, не станете отрицать, что ругаться на воду за ее вполне естественное поведение по вытеканию в эту дырку суть глупость? Почему же вполне естественное любопытство по проверке срабатывания на неверные входные данные (причем замена данных происходит на стороне клиента, т.е. там, где разработчик даже не может ожидать контролировать все и всех) Вы считаете поведением, как вы сказали, неправомерным?

                            Мне вот любопытно, случись на Хабре, где слова «проверка входных данных» не особо испугают аудиторию, задать вопрос, есть ли в действиях «хакеров» подсудная вина — какой бы результат получился бы :)
                            • 0
                              Подсудной — конечно нет. Но и накрутили они не случайно, а именно намеренно анализировали и использовали уязвимость. Разве это не «взлом»?
                              • 0
                                Да что же Вам все неспокойно? Утро, начало рабочего дня :)

                                Вы словами бросаетесь, потом новые термины вводите, но суть-то не меняется: люди ничего с сервером не сделали. Ни в физическом, ни в логическом смысле. Он (сервер) «сам себе данные поменял», основываясь на входных данных, которые он же сам неверно воспринял.

                                Скажем: Вы пишете программу, которая спрашивает юзера «каков ваш возраст?», собирает ответы, и считает средний возраст по всем ответам. Кто-то опечатался, и вместо 79 лет написал 799 лет (зрение плохое из-за возраста, не разглядел человек). Еще 9 человек ввели цифры «19» каждый. Программа на основе ответов выдает, что средний возраст = 97 лет ( (799+19*9)/10=97 ). Кого винить: подслеповатого пожилого пользователя, либо все же программиста?

                                Вы же знаете, что информация имеет тенденцию искажаться при передаче по каналам связи — достаточно послушать помехи, мешающие слушать радиопередачу, и никакие хакеры для этого не нужны — и масса технических приемов для борьбы с этим придуманы не случайно. Но если Вам нравится считать «шаг вправо, шаг влево» именно попытками взлома, хммм… не могу же я Вам запретить этого ;)
                                • 0
                                  Это, с юридической точки зрения, вопрос умысла и намерения. Ошибка ≠ намеренное вмешательство в работу, вы, прямо, как будто мой комментарий и не читали, на который отвечаете.
                                  • 0
                                    И что «юридическая» сторона говорит, даже если «хакер» признается в умышленной подмене данных? В чем он виноват-то?
                                    • 0
                                      Виноват в нарушении fair use =)
  • –8
    Ну это уже смешно, даже в новости про Майли Сайрус всё равно надо упомянуть Сноудона. Это тренд что ли? (:
    • +3
      Статью не читай @ комментируй
      Вы хоть поняли, о чем статья, или просто парсите текст на наличие имени «Сноуден»?
      • –3
        Комментарий не читай @ минусуй
        О накрутке голосов за Майли Сайрус. И что? Как с этим связан Сноуден? Тем, что он тоже номинирован? Тогда уж всех упоминать.
    • 0
      Тренд — это совать Майли Сайрус в любую номинацию/голосование
  • 0
    Надо накрутить обратно за Сноудена. :) Благодаря ему громадная шумиха пошла и движения за приватность в интернете. Я за него.
  • 0
    > Правда, версия с накруткой голосов за Майли Сайрус не объясняет, почему Сноудена опередил индийский политик Нарендра Моди, который вчера тоже отставал от него в десять раз. Похоже на то, что голоса за Сноудена просто «испарились».

    А вы правда думаете, что была накрутка только за Майли Сайрус?
  • 0
    Может я что то не до конца понимаю но голосвалки такого уровня пора бы уже делать с защитой от накрутки с учетом поведенческих факторов. JS позволяет отслеживать поведение пользователей вплоть до точного перемещения мыши.

    А так красавчики чо )
  • 0
    Я может чего-то не знаю, но разве на C# можно писать скрипты?
    • 0
      Коллега за день написал скрипт на C# для отправки СМС, запускает его сервисом под Windows.
      Так что таки ДА — можно!
  • +2
    Может у меня паранойя и АНБ везде мерещится, но раз не фиксят голосовалку, значит кому то это надо. А раз Times один из крупнейших журналов, то дискредитация онлайн системы голосования на обычного раба гражданина может оказать достаточно сильное воздействие.
    Т.е. кому то очень не хочется, что бы люди считали онлайн голосование адекватным и показательным.
    Но это так, размышления.
    • 0
      Точно так. Эти хакеры объективно сработали против Сноудена, а раз против Сноудена — значит, за АНБ.
    • 0
      Да не решает это голосование ничего. Редакторы сами выберут того, кто им понравится, это просто симпатии читателей совместно с викториной «угадай-кого-мы-выберем», если угодно. Будет что-то серьёзное — будет нормальная голосовалка с максимальной безопасностью. Будем надеяться, впрочем.
    • 0
      Ну и правильно в общем-то. Зачем людям считать онлайн-голосовании адекватным и показательным? Не видел ни одного значимого онлайн-голосования без накруток.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.