Странная история с найденной уязвимостью в
Signal.
Две недели назад
Иран заблокировал использование мессенджера на своей территории. В ответ на это Signal предложил пользователям поддержать цифровую демократию в Иране и поучаствовать в создании TLS-прокси, с помощью которых персидские сподвижники смогут обходить блокировку.
В пятницу исследователь
DuckSoft разметил на
GitHub статью о том, что из-за корявости кода Signal иранские госорганы могут спокойно отследить все такие TLS-прокси и заблокировать их. Там же приводился PoC за авторством исследователя
studentmain. А дальше начался цирк.
Ресерчеры направили данные в Signal. Администрация мессенджера выпилила статью на GitHub, сказав, что такие вопросы необходимо обсуждать на форуме Signal. Затем заблокировали DuckSoft на своем форуме, а в Twitter объяснили, что причиной всему этому стала "безответственность исследователя". Мол, если бы он тихонько написал про уязвимость безопасникам Signal, то все было бы ровно. А он зачем-то выкинул это на публику, негодяй. И вообще вел себя неуважительно.
Исследователи
перезалили тему на GitHub, уже с соответствующими комментариями.
А в качестве вишенки на торте выступила статья
BleepingComputer, которую под нажимом администрации мессенджера журналисты вынуждены были снести, а вместо нее поставили путанное
извинение.
Когда ты борешься против цензуры с помощью цензуры.
_______
Источник:
https://t.me/true_secator/1407 
