Уязвимость заключалась в следующем. Когда модераторы фейсбука удаляли аккаунты руководителей сообществ, в которых нарушались правила сайта, их имена автоматически появлялись в журналах действий этих сообществ (activity log). Таким образом, другие администраторы этих групп могли заходить на личные страницы модераторов.
Об ошибке стало известно в ноябре 2016 года, когда модераторы соцсети стали получать запросы на добавление в друзья от людей, которых подозревают в связях с террористами. К моменту устранения «дыра» существовала около месяца, и с ее помощью потенциальные террористы могли узнать имена модераторов, удалявших аккаунты начиная с августа 2016 года.
По данным The Guardian, уязвимость коснулась около тысячи модераторов, а наибольшему риску подверглись шесть человек из контртеррористического подразделения, которое базируется в Дублине. Их личные страницы просматривали люди, предположительно связанные с террористическим «Исламским государством», «Хизбаллой» и Рабочей партией Курдистана.
The Guardian поговорила с одним из этих модераторов — беженцем из Ирака, который живет в Ирландии с детства. По его словам, единственная причина переезда в Ирландию заключалась именно в том, чтобы избежать терроризма и угроз. Оказалось, что его страницу просматривали члены египетской группировки, связанной с палестинским движением ХАМАС и якобы поддерживающей ИГ. Известие об этом подтолкнуло его к отъезду из страны: он пять месяцев прожил в Восточной Европе, но затем вернулся в Ирландию из-за нехватки денег.
«ИГ наказывает за работу в контртеррористических органах обезглавливанием. Им нужно только связаться с каким-нибудь радикалом, который живет здесь», — сказал он.
По его словам, он постоянно испытывает тревогу и принимает антидепрессанты; другие люди из «группы риска» также живут эти месяцы «в состоянии паники и тревожности».
После обнаружения ошибки компания Facebook предупредила всех модераторов, чьи имена могли быть видны потенциальным преступникам, а людям из «группы риска» предложила установить дома сигнализацию и воспользоваться корпоративной программой психологической помощи сотрудникам. Руководитель отдела глобальных расследований Facebook Крейг дʼСуза лично связался с ними и сказал, в частности, что преступники могли и не понять, что модераторы удаляли их страницы.
Собеседник The Guardian сообщил, что считает эти меры недостаточными. Мужчина подал к ирландским властям жалобу на Facebook и своего непосредственного работодателя, компанию Cpl Recruitment, с требованием компенсации.
По его словам, модераторы из контртеррористического подразделения ежедневно по работе просматривают много тяжелого для восприятия контента в том числе изображения пыток и убийств. При этом они должны быть в состоянии определить, поддерживает или осуждает произошедшее пользователь, разместивший информацию, и разбираться в различных террористических течениях. Как пишет The Guardian, несмотря на сложность работы, работающие на аутсорсе модераторы получают сравнительно небольшую зарплату — 13 евро в час.
Кроме того, модераторам должны были позволить использовать в работе не личные, а фейковые аккаунты, считает собеседник газеты. В Facebook заявили, что из-за уязвимости изучают возможность использования «административных» аккаунтов.
Напомним,
