地图服务商 Mapbox 出包曝露开放的漏洞,为何补强措施不被领情?

2020-06-27
936 评论
527 人参与
地图服务商 Mapbox 出包曝露开放的漏洞,为何补强措施不被领情?

Google 地图新的收费方案已经造成不少网站经营者的负担,不少网站不愿意接受窜高的售价,而转向靠依据 OpenStreetMap 资料的 Mapbox,或是 Here、Esri 等地图方案。不过 Mapbox 近期出的包,不小心让反犹太人言论者,将 New York 改成 Jewtropolis 。用地图资料的第三方业者,并不能推给开源社群人人有办法编辑就能推卸责任,而攻击曝露的漏洞,提出的补救措施却不被考虑,这是怎幺回事呢?

Mapbox 审核机制出包,快一个月前的恶意编辑跑出来

8 月 30 日的时候,不少纽约人打开常用的 App 或网站如 Snap Map、Citibike、天气频道、StreetEasy,都看到他们习惯的城市名称变了。只要是用 Mapbox 方案的网站或是 App,纽约市的名称都变成犹太城。

Mapbox 很快的做出处置并且发出声明,说他们对仇恨言论 0 容忍。Mapbox 解释他们有人为疏失,儘管地图资料有双重确认机制,AI 侦测系统已经标示出问题编辑等待人工审核,但仍不小心放出问题编辑出来。

OpenStreetMap 基金会随后也发出声明,坦承问题编辑出自 OpenStreetMap,但在两个小时之内清除问题编辑,做出问题编辑的人也被封禁,不能用他的帐号继续编辑。


但 Mapbox 的声明儘管是相当有诚意的道歉,却没说明为何快一个月前的变动,会跑进公司对外服务的图砖伺服器,对外发布有问题的地图内容。更何况 OpenStreetMap 的资料已经在两小时的时间修复完毕,做出问题编辑的帐号也很快遭到封禁。

犯人的告白并宣扬 OpenStreetMap 的弱点

故事原本到这边该结束,不少媒体的报导只有注意到地图出包这段。但想不到自称的犯下恶意编辑的人,在 Reddit 的阴谋板发文,以及在 OpenStreetMap 上面涂鸭,散播他的贴文。声称他认为 OpenStreetMap 有相当大的缺陷,很容易随便一个人动手修改,只要怀有恶意,就会出现在 OpenStreetMap 上面。儘管很快被发现而移除,这些错误资料随着靠 OpenStreetMap 资料的公司,一不注意,进到靠 OpenStreetMap 营利的公司地图上面。


由于没什幺人在阴谋板讨论,他改到 Reddit 的 OpenStreetMap 看板发文踢馆,声称是协助 OpenStreetMap 测试安全状况指出他们的漏洞,但想不到绝大部分的人都不领情,纷纷吐嘈他所谓的「测试安全」说法经不起考验。

到底是要全部锁起来,只能由有认证过的用户更动内容,还是开放大家平等参与,信任彼此贡献和纠错的能力,是不少网路群众计画争议的地方。前者的程序确保不会有任何错误上线,而后者则可能聚集足够的参与人数,促进计画继续前进。

破坏者指出只要注册帐号就能变动 OpenStreetMap 资料,很容易就将错误资讯传到依靠 OpenStreetMap 资料的商业服务,例如这次出包的 Mapbox。应当要限制某些编辑行为,会依据注册时间分等级,超过某个等级才能编特定的物件。

帐号管制会牵涉到更动 OpenStreetMap 网站架构,而网站架构从 OpenStreetMap 计画成立经年累月了,比不上现在习惯的网站功能撰写方式,像是模组化设计,得先要清理既有的框架才行。相比维基百科有三位数的工程师在改进维基百科等维基相关计画的网路,OpenStreetMap 基金会只有一位全职人员,顶多管管图砖伺服器的效能调校。

况且,不少开源以及开放内容运动,都是诉求将过去集中化,只有少数人决定内容採用与否的模式,通通推翻了。OpenStreetMap 当初受到维基百科的启发,立志要做出众人都能参与,而且平等模式运作的计画。难怪破坏者的提议不少人并不领情。

Mapbox 神祕的抓资料时机与地图内容

儘管这次是有人恶意编辑,让 Mapbox 栽了跟斗让反犹太内容上了 Mapbox 地图,但 Mapbox 到底多久从 OpenStreetMap 截取资料更新地图,一直是个谜。这次纽约地图出包很快就更正,但在其他地方未必更新那幺快。像是在台湾有人在台北松山机场附近加上虚假并不存在的机场,仍然存在 Mapbox 提供服务的地图伺服器上面。

地图服务商 Mapbox 出包曝露开放的漏洞,为何补强措施不被领情?

Mapbox 的地图在松山机场一带这边,出现另一个奇怪的机场名称恩玮机场,但在 OpenStreetMap 早就清除的涂鸭。

地图一直是相当昂贵的产品,Google 调高地图的收费标準,不过就是反映这项事实。Google 之外其他家网路地图业者如 Here、TomTom、Esri、Bing,儘管地图没 Google 那幺为人所知,但也花了不少精力维护。靠 OpenStreetMap 资料的公司,地图资料是开放内容而且是免费,不意味着能少花精力。Mapbox 儘管有工具自动侦测可能的问题,仍然栽在恶意网友之手,儘管是做出破坏举动一个月后的事情,引起新闻大幅报导的公关灾难。

从 OpenStreetMap,况且 OpenStreetMap 社群已经有一套纠错机制,在这次 Mapbox 纽约出包的事件中,从资料面已经在很快的时间修正完毕。虽不同于传统商业以司的逻辑,错误资料仍存在某一个时间点的资料 snapshot。靠开源资料做生意的商家,可得好好理解上述特性,并且有一套审核资料的流程,如不幸出问题时合理回应外界的质疑。

上一篇: 下一篇:

精彩推荐

申博太阳城_永利279999|分享各地景点|网站地图 网页被挂sunbet 申博sunbet988