Albicla – czyli jak nie tworzyć serwisów społecznościowych

W styczniu ruszył serwis społecznościowy zapewniający swoim użytkownikom “strefę wolnego słowa” – Albicla. Oficjalnie miał być odpowiedzią na rzekome ograniczanie swobody wypowiedzi internautów o prawicowych i konserwatywnych poglądach przez „lewicowego” Facebooka i Twittera. Pomijając jednak pobudki polityczne, naszą uwagę (i nie tylko naszą) zwróciła techniczna strona Albicla. W internecie rzadko pojawiają się tak fatalnie przygotowane strony internetowe, a już zwłaszcza serwisy społecznościowe. Od samego początku dane osobowe wszystkich użytkowników, którzy założyli konta na Alibicla, każdy średnio ogarnięty programista mógł sobie po prostu pobrać z serwera.

Temat rzekomej cenzury w internecie i ograniczania swobody wypowiedzi był tematem naszej rozmowy w poprzednim odcinku programu ITbiznes w telewizji Biznes24. Zapalnikiem do rozmowy było zablokowanie wszystkich kont w serwisach społecznościowych należących do byłego prezydenta USA, Donalda Trumpa. 

Ale blokady znanych polityków czy popularnych fanpejdży zdarzają się też na naszym podwórku. Facebook zablokował na przykład konto Janusza Korwina-Mikkego, a nawet konto Demotywatorów (wciąż nie wiadomo, co było przyczyną – konto Demotywatorów obserwowały 2 miliony osób).

Ekspert, z którym wówczas przeprowadziliśmy rozmowę stwierdził jasno: nie możemy dopuścić do tego, by to operatorzy serwisów społecznościowych samodzielnie decydowali o blokowaniu internautów, a już zwłaszcza osób publicznych. Potrzebne są międzynarodowe regulacje. Prawdopodobnie takowych niebawem się doczekamy.

Nie wszyscy czekają na regulacje

Niektórzy jednak nie czekają na wprowadzenie takich regulacji i uruchamiają “alternatywne” serwisy społecznościowe, które mają rzekomo gwarantować wolność słowa swoim użytkownikom. Niestety, jak pokazuje praktyka, ta swoboda wypowiedzi jest zbyt liberalna – na serwisach takich zaczynają się pojawiać wypowiedzi agresywne, nawołujące do nienawiści i przemocy. Przykładem takich działań był serwis Parler, którego użytkownicy umówili się na słynny już szturm na Kapitol. W efekcie Amazon zdecydował się zablokować hosting strony Parler.com (utrzymywanej na infrastrukturze AWS), z kolei Google i Apple usunęły aplikację Parler ze swoich sklepów App Store i Google Play.

W Polsce z kolei ruszyły dwa nowe serwisy społecznościowe gwarantujące “wolność wypowiedzi” – a tak przynajmniej zapewniają ich operatorzy. W przypadku pierwszego, WolniSłowianie.pl te zapewnienia szybko okazały się fikcją. Przekonał się o tym Krzysztof Gonciarz, którego konto zostało szybko usunięte z serwisu.

Albicla – falstart i internetowe pośmiewisko

Drugim serwisem jest Albicla – serwis związany z prawicowym środowiskiem Gazety Polskiej, za którym stoi znany konserwatywny dziennikarz o ultraprawicowych poglądach, Tomasz Sakiewicz – prezes wydawnictwa Słowo Niezależne, czyli wydawcy konserwatywnych i prorządowych mediów, takich jak Gazeta Polska i niezależna.pl, a także wiceprezes zarządu Telewizji Republika.

Chociaż nazwa Albicla nie brzmi po polsku, to po kilku dniach na serwisie ukazała się informacja, skąd pochodzi nazwa – “All Be Clear”, czyli “wszystko jasne”.

Albicla również miała zapewniać wolność słowa. Sam Sakiewicz zapewniał, że usuwane będą jedynie treści naruszające polskie prawo. Niestety rzeczywistość zweryfikowała te twierdzenia. Konto Grzegorza Marczaka (szefa Antyweb) zostało szybko usunięte (po tym gdy Grzegorz umieścił obrazek z ośmioma gwiazdkami), a wypowiedzi z konta Tygodnika NIE moderatorzy po prostu pokasowali (chociaż nie usunęli samego konta). Więc ponownie – teoretycznie jest wolność słowa, ale pod warunkiem, że użytkownik nie krytykuje obecnego rządu i związanych z nim instytucji (jak chociażby Trybunał Konstytucyjny Julii Przyłębskiej), a także nie spróbuje pochwalać LGBT, WOŚP czy chociażby… działań Unii Europejskiej.

Mieliśmy jednak nie poruszać kwestii politycznych. Skupmy się na tym, jak bardzo źle został przygotowany serwis Albicla.

Niezliczona ilość błędów i dziur

Albicla ruszyła 20 stycznia. Data nieprzypadkowa, ponieważ start skorelowano z ostatnim dniem rządów Donalda Trumpa, którego Tomasz Sakiewicz jest wielkim zwolennikiem. Zainteresowanie serwisem przekroczyło chyba oczekiwania twórców, bo pierwszego dnia na maile aktywacyjne czekać trzeba było godzinami.

Szybko jednak okazało się, że serwis jest pełen błędów i dziur. Pola z nazwą użytkownika i hasłem mogą być dowolne – mogą się składać na przykład z jednego znaku.

Możliwe było ponadto założenie dowolnej liczby kont wykorzystując ten sam adres email. Podobno ktoś założył w ten sposób 500 tys. kont pierwszego dnia – być może to właśnie on przeciążył system wysyłający maile aktywacyjne.

Wreszcie, sam serwis był tak słabo zabezpieczony, że wyciekł nie tylko kod serwisu, ale najprawdopodobniej także cała baza użytkowników.

źródło: reddit
źródło: Zaufana Trzecia Strona

Programiści pracowali za darmo

Kilka dni po starcie Tomasz Sakiewicz określił koszt realizacji platformy na poziomie 100 tys. złotych, ale potem szybko przyznał, że pracujący przy niej programiści pracowali za darmo. Możemy się jedynie domyślać, że byli to albo amatorzy programiści, albo studenci uczący się programować.

Popełniono cały szereg podstawowych, wręcz szkolnych błędów. Usługa nie była w ogóle przygotowana na skalowanie w górę przy nagłym wzroście ruchu. Nie uwzględniono podstawowych wymagań przy zakładaniu kont. Serwis nie spełniał wymogów RODO. Nie wyświetlał nawet komunikatów o wykorzystaniu ciasteczek, które są obowiązkowe w Unii Europejskiej. Skopiowano nawet regulamin z Facebooka i to na tyle nieuważnie, że pozostały oryginalne linki przekierowujące do Facebooka. 

Jakie można wyciągnąć wnioski?

To nie pierwszy raz, gdy w internecie pojawia się tak nieudolnie przygotowany serwis, jak Albicla. Najlepiej w ogóle nie korzystać z takich usług, jeśli nie chcemy, by nasze dane wyciekły i potencjalnie trafiły w ręce cyberprzestępców. Ale jeśli już z jakiegoś powodu musimy, to należy pamiętać o kilku zasadach.

Po pierwsze, nigdy nie podawajmy naszych służbowych maili zakładając konta w takich serwisach. Najlepiej mieć przygotowane specjalne “spam konto”, którego używamy wyłącznie do rejestracji w podobnych usługach i którego nie będzie nam w ogóle szkoda, jeśli ktoś je przejmie.

W takich serwisach o niskiej reputacji nigdy nie powinniśmy używać takiego samego hasła, z jakiego korzystamy w jakiejkolwiek innej usłudze. Należy trzymać się zasady: do każdej usługi inne hasło. Aby zapamiętać hasła, najlepiej użyć menedżera haseł – na przykład LastPass albo 1Password. Menedżer haseł integruje się z przeglądarką, a także jest dostępny jako aplikacja na smartfony (w przypadku LastPass hasła są synchronizowane w chmurze). 

Ale – jak wspomnieliśmy wcześniej – najlepiej nie korzystać z takich serwisów i zaczekać, aż specjaliści od cyberbezpieczeństwa przeprowadzą stosowne audyty i ocenią, czy serwis jest bezpieczny, czy lepiej go po prostu unikać.

Dodaj komentarz