地圖服務商 Mapbox 出包曝露開放的漏洞,為何補強措施不被領情?

作者 | 發布日期 2018 年 09 月 11 日 14:33 | 分類 網路 follow us in feedly

Google 地圖新的收費方案已經造成不少網站經營者的負擔,不少網站不願意接受竄高的售價,而轉向靠依據 OpenStreetMap 資料的 Mapbox,或是 Here、Esri 等地圖方案。不過 Mapbox 近期出的包,不小心讓反猶太人言論者,將 New York 改成 Jewtropolis 。用地圖資料的第三方業者,並不能推給開源社群人人有辦法編輯就能推卸責任,而攻擊曝露的漏洞,提出的補救措施卻不被考慮,這是怎麼回事呢?




Mapbox 審核機制出包,快一個月前的惡意編輯跑出來

8 月 30 日的時候,不少紐約人打開常用的 App 或網站如 Snap Map、Citibike、天氣頻道、StreetEasy,都看到他們習慣的城市名稱變了。只要是用 Mapbox 方案的網站或是 App,紐約市的名稱都變成猶太城。

Mapbox 很快的做出處置並且發出聲明,說他們對仇恨言論 0 容忍。Mapbox 解釋他們有人為疏失,儘管地圖資料有雙重確認機制,AI 偵測系統已經標示出問題編輯等待人工審核,但仍不小心放出問題編輯出來。

OpenStreetMap 基金會隨後也發出聲明,坦承問題編輯出自 OpenStreetMap,但在兩個小時之內清除問題編輯,做出問題編輯的人也被封禁,不能用他的帳號繼續編輯。


但 Mapbox 的聲明儘管是相當有誠意的道歉,卻沒說明為何快一個月前的變動,會跑進公司對外服務的圖磚伺服器,對外發布有問題的地圖內容。更何況 OpenStreetMap 的資料已經在兩小時的時間修復完畢,做出問題編輯的帳號也很快遭到封禁。

犯人的告白並宣揚 OpenStreetMap 的弱點

故事原本到這邊該結束,不少媒體的報導只有注意到地圖出包這段。但想不到自稱的犯下惡意編輯的人,在 Reddit 的陰謀板發文,以及在 OpenStreetMap 上面塗鴨,他的貼文。聲稱他認為 OpenStreetMap 有相當大的缺陷,很容易隨便一個人動手修改,只要懷有惡意,就會出現在 OpenStreetMap 上面。儘管很快被發現而移除,這些錯誤資料隨著靠 OpenStreetMap 資料的公司,一不注意,進到靠 OpenStreetMap 營利的公司地圖上面。


由於沒什麼人在陰謀板討論,他改到 Reddit 的 OpenStreetMap 看板發文踢館,聲稱是協助 OpenStreetMap 測試安全狀況指出他們的漏洞,但想不到絕大部分的人都不領情,紛紛吐嘈他所謂的「測試安全」說法經不起考驗。

到底是要全部鎖起來,只能由有認證過的用戶更動內容,還是開放大家平等參與,信任彼此貢獻和糾錯的能力,是不少網路群眾計畫爭議的地方。前者的程序確保不會有任何錯誤上線,而後者則可能聚集足夠的參與人數,促進計畫繼續前進。

破壞者指出只要註冊帳號就能變動 OpenStreetMap 資料,很容易就將錯誤資訊傳到依靠 OpenStreetMap 資料的商業服務,例如這次出包的 Mapbox。應當要限制某些編輯行為,會依據註冊時間分等級,超過某個等級才能編特定的物件。

帳號管制會牽涉到更動 OpenStreetMap 網站架構,而網站架構從 OpenStreetMap 計畫成立經年累月了,比不上現在習慣的網站功能撰寫方式,像是模組化設計,得先要清理既有的框架才行。相比維基百科有三位數的工程師在改進維基百科等維基相關計畫的網路,OpenStreetMap 基金會只有一位全職人員,頂多管管圖磚伺服器的效能調校。

況且,不少開源以及開放內容運動,都是訴求將過去集中化,只有少數人決定內容採用與否的模式,通通推翻了。OpenStreetMap 當初受到維基百科的啟發,立志要做出眾人都能參與,而且平等模式運作的計畫。難怪破壞者的提議不少人並不領情。

Mapbox 神祕的抓資料時機與地圖內容

儘管這次是有人惡意編輯,讓 Mapbox 栽了跟斗讓反猶太內容上了 Mapbox 地圖,但 Mapbox 到底多久從 OpenStreetMap 截取資料更新地圖,一直是個謎。這次紐約地圖出包很快就更正,但在其他地方未必更新那麼快。像是在台灣有人在台北松山機場附近加上虛假並不存在的機場,仍然存在 Mapbox 提供服務的地圖伺服器上面。

▲ Mapbox 的地圖在松山機場一帶這邊,出現另一個奇怪的機場名稱恩瑋機場,但在 OpenStreetMap 早就清除的塗鴨。(Source:Mapbox)

地圖一直是相當昂貴的產品,Google 調高地圖的收費標準,不過就是反映這項事實。Google 之外其他家網路地圖業者如 Here、TomTom、Esri、Bing,儘管地圖沒 Google 那麼為人所知,但也花了不少精力維護。靠 OpenStreetMap 資料的公司,地圖資料是開放內容而且是免費,不意味著能少花精力。Mapbox 儘管有工具自動偵測可能的問題,仍然栽在惡意網友之手,儘管是做出破壞舉動一個月後的事情,引起新聞大幅報導的公關災難。

從 OpenStreetMap,況且 OpenStreetMap 社群已經有一套糾錯機制,在這次 Mapbox 紐約出包的事件中,從資料面已經在很快的時間修正完畢。雖不同於傳統商業以司的邏輯,錯誤資料仍存在某一個時間點的資料 snapshot。靠開源資料做生意的商家,可得好好理解上述特性,並且有一套審核資料的流程,如不幸出問題時合理回應外界的質疑。

(首圖來源:Twitter @hshaban )