Gettr สัญญากับผู้ใช้ว่าจะปลดปล่อยพวกเขาจาก Big Tech แต่กำลังติดตามพวกเขาสำหรับ Facebook และ Google

Jan 12 2022

โลโก้ Gettr ปรากฏบนสมาร์ทโฟน ภาพสต็อก Gettr เพียงหนึ่งในโคลนนิ่ง Facebook/Twitter ที่ไม่มีที่สิ้นสุดสำหรับกลุ่ม MAGA ที่โกรธแค้นเกี่ยวกับกฎของโซเชียลมีเดียที่ต่อต้านทฤษฎีสมคบคิดและความคลั่งไคล้ ขายตัวเองให้กับผู้ใช้ที่มีศักยภาพเพื่อหลีกหนีการกดขี่เผด็จการของยักษ์ใหญ่ด้านเทคโนโลยีอย่าง Facebook และ Google

โลโก้ Gettr ปรากฏบนสมาร์ทโฟน ภาพสต็อก

Gettr เพียงหนึ่ง ในโคลนนิ่ง Facebook/Twitter ที่ไม่มีที่สิ้นสุด สำหรับกลุ่ม MAGA ที่โกรธแค้นเกี่ยวกับกฎของโซเชียลมีเดียที่ต่อต้านทฤษฎีสมคบคิดและความคลั่งไคล้ ขายตัวเองให้กับผู้ใช้ที่มีศักยภาพเพื่อหลีกหนีการกดขี่เผด็จการของยักษ์ใหญ่ด้านเทคโนโลยีอย่าง Facebook และ Google เซอร์ไพรส์! การเสนอขายนั้นมาพร้อมกับคำเตือนนับล้าน ประการแรกและสำคัญที่สุดคือ Gettr ดูเหมือนจะไม่ทำอย่างนั้นเลย

จากการวิจัยใหม่ที่จัดทำโดย Sean O'Brien ผู้ก่อตั้งห้องทดลองความเป็นส่วนตัวของ Yale Law School และเพิ่งเผยแพร่โดย Talk Liberation Investigatesแอพเว็บและสมาร์ทโฟนของ Gettr มีตัวติดตามที่อนุญาตให้ Facebook และ Google ติดตามผู้ใช้ในขณะที่พวกเขาท่องไปในยูโทเปียที่พูดได้ฟรีของ Gettr (O'Brien ยังเป็นหัวหน้าเจ้าหน้าที่รักษาความปลอดภัยของ Panquake.com ซึ่งเป็นเครือข่ายสังคมออนไลน์ที่เปิดใช้งานบล็อกเชนแบบคราวด์ฟันด์ฟันด์ที่ยังไม่ได้เปิดตัว ซึ่งหมายความว่าเขาทำงานให้กับคู่แข่ง)

โค้ด ของGettr ประกอบด้วยตัวติดตามสองตัวที่แพร่หลายทั่วทั้งเว็บ—คุกกี้ของเบราว์เซอร์ที่ติดตามผู้ใช้สำหรับเครือข่าย AdSense ที่กว้างขวางของ Google และพิกเซล Facebook ที่น่าอับอายจุดเล็ก ๆ ที่ฝังอยู่ในเว็บไซต์นับล้านทั่วทั้งเว็บที่ส่ง Ping บน Facebookทุกครั้งที่มีการโหลด . เครื่องมือเหล่านี้ช่วยให้ Gettr ใช้ประโยชน์จากเทคโนโลยีการติดตามเว็บแบบเดียวกันทุกหนทุกแห่งที่ผู้บริหารหลัก เช่น อดีตผู้ช่วยของโดนัลด์ ทรัมป์ และเจสัน มิลเลอร์CEO ได้ประณาม แน่นอนว่าค่าเข้าชมคือการแบ่งปันข้อมูลจำนวนมากกับ Facebook และ Google

นอกจากตัวติดตาม Facebook และ Google แล้ว Gettr ยังใช้เครื่องมือที่คล้ายกันจากบุคคลที่สาม เช่น AppsFlyer และ Countly ซึ่งให้ลายนิ้วมือของเว็บเบราว์เซอร์ (การสร้างตัวระบุผู้ใช้ที่ไม่ซ้ำกัน) และข้อมูลพฤติกรรม โดยรวมแล้ว เครื่องมือติดตามเหล่านี้สามารถส่งข้อมูล "พฤติกรรมที่ละเอียดและข้อมูลตำแหน่ง" และเปิดใช้งานการติดตามผู้ใช้ Gettr ข้ามอุปกรณ์อย่างต่อเนื่องตามรายงาน AppsFlyer เพียงอย่างเดียวสามารถรวบรวมรายละเอียดต่างๆ เช่น “ที่อยู่ IP ผู้ให้บริการเครือข่ายมือถือ รุ่นระบบปฏิบัติการ รุ่นโทรศัพท์ และข้อมูลตำแหน่งทั้งแบบหยาบและแบบละเอียด”

ปัญหาความเป็นส่วนตัวไม่ได้จบเพียงแค่นั้น รายงานยังระบุข้อบกพร่องด้านความปลอดภัยที่สำคัญจำนวนหนึ่งอีกด้วย

"โค้ด JavaScript จำนวนมากถูกส่งผ่านระบบคลาวด์ [เครือข่ายการจัดส่งเนื้อหา] เช่น Amazon AWS และ Cloudflare นอกเหนือจากเนื้อหาที่ฝังไว้ซึ่งโหลดโดยตรงจากในเว็บ" รายงานของ O'Brien กล่าว “ในขณะที่ผู้ใช้เรียกดู GETTR พวกเขาเชื่อมต่อกับโดเมนหลายสิบโดเมนพร้อมกัน... GETTR ใช้บริการของบุคคลที่สามที่หลากหลายสำหรับการสื่อสารและการสนับสนุนผู้ใช้ ยังขาดความโปร่งใสเกี่ยวกับความสัมพันธ์ของ GETTR กับฝ่ายเหล่านี้ ซึ่งรวมถึง ZenDesk, Postmark, Mailgun และ SolarWinds Pingdom”

นอกจากนี้ รายงานระบุว่า Gettr “เชื่อมต่อกับโดเมนภายนอกจำนวนมาก” เพื่อไปยังเนื้อหาฮอตลิงก์ เช่น บทความข่าว บล็อก และวิดีโอ โดยสังเกตว่าแนวทางปฏิบัติด้านความปลอดภัยมาตรฐาน เช่น การเพิ่มส่วนหัวความปลอดภัย ส่วนหัวอ้างอิง และค่าเริ่มต้นอื่นๆ ดูเหมือนจะไม่ถูกนำไปใช้ ในขณะที่ GETTR โหลดเนื้อหา HTTP ที่ไม่ได้เข้ารหัสหรือผสมกันจำนวนมาก สิ่งนี้ไม่เพียงแต่เป็น ความเสี่ยงด้านความปลอดภัยที่สำคัญเท่านั้น—เนื้อหาจากโดเมนบุคคลที่สามเหล่านั้นในทางทฤษฎีอาจติดมัลแวร์—ยังอาจทำให้ผู้ใช้ “ถูกสอดส่องโดยแหล่งที่มาต้นทาง” นอกจากนี้ยังสร้างโอกาสสำหรับตำรวจหรือผู้ดูแลระบบเครือข่าย เช่น มหาวิทยาลัยหรือแผนกไอทีขององค์กร เพื่อตรวจสอบการรับส่งข้อมูลที่ไม่ได้เข้ารหัส เนื่องจากว่านี่คือไซต์ที่ถูกแฮ็ก ภายในเวลาไม่กี่ชั่วโมงหลังจากเปิดให้บริการ และการขาดความเชี่ยวชาญทางเทคนิคอย่างเห็นได้ชัดในหมู่ผู้ใช้ประเภทที่ Gettr กำลังติดพัน นี่เป็นช่องโหว่ที่ค่อนข้างอ้าปากค้าง

แม้จะมีการรั่วไหลของข้อมูลจำนวนมากที่เกี่ยวข้องกับข้อมูลส่วนบุคคลที่คัดลอกมาเมื่อปีที่แล้ว Gettr ยังคงอนุญาตให้ทุกคนเข้าถึง API โดยไม่ต้องใช้มาตรการรักษาความปลอดภัยเช่นคีย์การตรวจสอบ O'Brien เขียน ในขณะที่ Gettr ลบที่อยู่อีเมลและข้อมูลตำแหน่งออกจาก API หลังจากการรั่วไหล ตามรายงาน การขาดการตรวจสอบหมายความว่าใครก็ตามที่มีทักษะทางเทคนิคขั้นพื้นฐานสามารถ "สอบถามข้อมูลดังกล่าว" เพื่อดาวน์โหลดข้อมูลเช่นประวัติการโพสต์ของผู้ใช้ทั้งหมดหรือทุกคน พวกเขาปฏิบัติตามแทบไม่มีข้อจำกัด

O'Brien บอก Daily Dotในการให้สัมภาษณ์ว่าคำมั่นสัญญาของ Gettr ที่มีต่อผู้ใช้เกี่ยวกับความเป็นส่วนตัวและความปลอดภัยนั้น “ไม่สมเหตุสมผล” และเสริมว่า: “ผู้คนไม่ได้ตระหนักถึงการติดตามอย่างเต็มรูปแบบด้วย Gettr.... ฉันคิดว่ามีหลายสิ่งหลายอย่าง พวกเขาจำเป็นต้องเปลี่ยนสถาปัตยกรรม”

นโยบายความเป็นส่วนตัวของ Gettr ยอมรับการใช้เครื่องมือติดตาม โดยเฉพาะอย่างยิ่งยอมรับว่าใช้เครื่องมือของ Google: “เราอาจใช้บริการของบุคคลที่สาม เช่น Google Analytics เพื่อช่วยเราวิเคราะห์ประสิทธิภาพของเรา การส่งมอบบริการและการโฆษณาของเราแก่คุณ”

แกนหลักของ Miller คือ Gettr จะไม่เซ็นเซอร์ผู้ใช้ในลักษณะเดียวกับที่ฝ่ายขวากล่าวหาเครือข่ายสังคมเช่นFacebook และ Twitter ว่า ทำ แต่ในขณะที่มันอาจมีกฎที่หลวมกว่าคู่แข่งเหล่านั้น (และความสามารถที่น่าสงสัยใน การบังคับใช้พวกเขาจริง ๆ ) ก็พบว่าการลบเนื้อหา การแบนบัญชี และการกำจัดสแปมเป็นขั้นตอนขั้นต่ำที่ทำให้เว็บไซต์ใช้งานได้เลย ตามที่TechDirt ระบุไว้เมื่อเดือนที่แล้ว Gettr ไม่เพียงแต่สั่งห้าม Nick Fuentes ซูเปอร์มาซิสต์ผิวขาวเพราะละเมิดข้อกำหนดในการให้บริการ แต่ยังแบนคำว่า "groyper"—มีมทางอินเทอร์เน็ตที่กลายมาเป็นภาษาพูดสำหรับผู้ติดตามกลุ่มเล็กๆ ของ Fuentes—จากเว็บไซต์ทั้งหมด Gizmodo ทดสอบสิ่งนี้เมื่อวันอังคารและพบว่าการพยายามโพสต์คำว่า “groyper” ส่งคืนข้อผิดพลาดที่ระบุว่า “อ๊ะ! เกิดข้อผิดพลาดในการส่งโพสต์ของคุณ” แม้ว่าระบบใดก็ตามที่มีอยู่ก็ดูเหมือนจะทำงานได้ไม่ดีนัก เนื่องจากการพยายามโพสต์คำซ้ำหลายครั้งในท้ายที่สุดก็ส่งผลให้ประสบความสำเร็จ

Getter ไม่ตอบสนองต่อการร้องขอความคิดเห็นในเรื่องนี้ แต่เราจะอัปเดตหากเราได้ยินกลับ Miller ได้ส่งคำสั่งมาเธอร์บอร์ดที่ตัดตอนมาด้านล่าง :