СоХабр закрыт.

С 13.05.2019 изменения постов больше не отслеживаются, и новые посты не сохраняются.

| сохранено

Некоторые вложения в чатах ВКонтакте доступны всем [убрано до выяснения обстоятельств] в черновиках

Информационная безопасность

Суть поста: через личные сообщения были отправлены два файла, Blowfish.zip и Blowfish.java. Они были отправлены в один день, одному человеку с разницей в несколько часов. Первый файл после загрузки стал приватным, второй — публичным. При этом настройки приватности для этих двух файлов я не менял.

Описанное в посте для новых документов сейчас не воспроизводится даже у меня (не надо об этом писать в каждом втором комменте), но, тем не менее, в поиске доступно огромное количество приватных документов (даже сегодняшних). Посмотрите в свои «документы», скорее всего найдете среди них общедоступные.

Я не думаю, что люди сами выкладывают свои документы в общий доступ. Конечно, нельзя недооценивать глупость пользователей, но это всего лишь дополнение к моему конкретному случаю. Скорее всего, при загрузке неправильно автоматически выставляется флаг приватности — документы продолжают появляться в поиске на данный момент. Возможно, это какой-то плавающий баг.

У команды ВК есть возможность проверить, каким образом эти документы попали в поиск, вариантов есть несколько:

  • Люди сами загрузили их в документы и сделали общедоступными (сомнительно)
  • Люди выложили их на стену (сомнительно)
  • Люди отправили их в личном сообщении, но документ почему-то стал публичным. На мой взгляд, это наиболее вероятно, и то же самое случилось с моим документом (благо, это был всего лишь исходник на Java)




Погуглил несколько случайно взятых сканов из поиска — ничего не нашлось. Это может говорить о двух вещах: либо поиск по картинкам в гугле работает не очень хорошо, либо эти сканы действительно никуда не выкладывались.

Очень хотелось бы, чтобы представитель ВК прокомментировал эту ситуацию.
вконтакте, приватность
  RankoR

комментарии (37)

+10
+11 –1
LuckyReveal ,  

>Настроек приватности документов ВК нет.

Да вы что?

+11
+12 –1
RankoR ,   * (был изменён)

Это делается уже после загрузки, до (и в процессе) загрузки этого нет, и такое поведение не очевидно (пост подкорректировал)

+6
vilgeforce ,  

С очевидностью там вообще проблемы :-D

0
LuckyReveal ,   * (был изменён)

Вот минуту назад отправил товарищу два файла, .ipa и .pdf. Далее я зашел в настройки этих документов и увидел аналогичную картину той, что скинута мной выше.

–1
+1 –2
RankoR ,   * (был изменён)
Скрин

Я настройки не менял, вот такие они по умолчанию.

Пример: я глупый пользователь, отправляю кому-то скан паспорта, и, допустим, знаю, что можно изменить настройки приватности. Я залил документ, отправил собеседнику, после чего я меняю настройки приватности. Но на это уходит время, и мой скан легко могут найти за эти несколько десятков секунд.
А теперь предположим, что я об этих настройках не знаю, т.к. они запрятаны, скажем так, далековато — лично я о них узнал от вас.
0
LuckyReveal ,  

Скорее всего, парсер ВК признает расширение .java как файл, обычно распространяющийся публично и в данном случае подстраивается под пользователя. Попробуйте залить .docx или же аналогичный формат документов.

0
+1 –1
RankoR ,  

Проверил — работает не для всех типов файлов, для фото, например, сейчас ставится флаг «личный документ». Пост отредактировал.

0
+1 –1
RankoR ,   * (был изменён)

Кстати, сейчас позаливал самых разных файлов — все отметились как приватные. В том числе и *.java.

+7
ID120 ,   * (был изменён)

В общем случае, отправлять важные документы посредством ВК — довольно сомнительное занятие, и тут дело вовсе не в настройках безопасности сайта. Но вообще ситуация неоднозначная.

Поищем скан паспорта
+3
Zlobober ,  

«Голый Путин, дуров, Порно» это пять.

–21
+3 –24
brainfucker ,  

Бред загружённые документы отображаются в разделе документов только для текущего пользователя и не находятся в поиске. Большой минус автору за вранье

0
+2 –2
RankoR ,   * (был изменён)

Не поленитесь и поищите «скан паспорта». Вы действительно считаете, что люди, которые отправляли сканы через ВК, специально заходили в документ и ставили галочку «доступно всем»?
Лично у меня эти галочки расставлены странным образом, хотя я их ни разу не менял.

–7
+1 –8
brainfucker ,  

А вы попробуйте загрузить документ в личные сообщения и потом найти его с другого пользователя. Что странного в том, что люди загружают паспорта в раздел документов, делая их публичными

+1
+2 –1
lllypyn ,  

Вы шутите? Вы хоть попробовали ввести что то типа «паспорт»?

–2
+3 –5
brainfucker ,  

а вы пробовали в гугле ввести что то типа «паспорт»

0
lllypyn ,  

Логичнее было бы привести пример скажем с gmail.

–3
+1 –4
brainfucker ,  

Хорошо, Вы пытаетесь всех убедить что в google находятся документы отправленные в gmail, ссылаясь на то, что в google можно найти паспорт.

0
lllypyn ,  

Я хочу убедить вас в том, что документы которые я отправлял адресатам, должны быть доступны только адресатам. А не тем умельцам которые знают как работает поисковая строка. Способ озвученный автором позволяет предположить, что многие документы высылаемые пользователями «вконтакте» не должны были попадать на всеобщее обозрение.

0
RankoR ,  

Это абсолютно разные вещи. Есть конкретный пример, когда документ неявно стал публичным, будучи отправленным через сообщения. И очень хотелось бы узнать, каким образом это произошло.

0
+1 –1
monitoringe ,  

Так или иначе проблема явно возникла не только у вас. Достаточно посмотреть выдачу по запросу «Пароль», даже беглый просмотр позволяет найти доступы к аккаунтам и т.д.

–1
leonaded ,   * (был изменён)

А что я делаю не так?

Заливаю файл через меню «прикрепить» в Диалогах:

Скрытый текст

Ищу уже с другого аккаунта в Документах тот же самый файл:
Скрытый текст
0
RankoR ,   * (был изменён)

Алгоритм автовыставления флажков приватности не ясен, я уже написал об этом в посте. Воспроизвести сейчас и у меня не получается, но есть факт: куча приватных файлов доступна в поиске, в том числе и мой файл.

–2
leonaded ,   * (был изменён)

А причём тут флажки? Если заливать файл через меню «прикрепить» в Диалогах, то он будет загружен как личный.

+2
RankoR ,   * (был изменён)

Конкретно в моем случае он оказался доступным всем. И достаточно логично, что люди те же сканы паспортов скорее всего отправляют в ЛС напрямую, а не просто заливают в документы.

+1
dIsoVi ,  

доброе утро habrahabr.ru/post/132108/

–1
RankoR ,  

Да, это релевантно к данному посту и сам факт доступности приватной инфы общеизвестен. Суть топика в том, что в некоторых случаях документ становится публичным, и при этом не ясно в каких.

+1
dIsoVi ,  

если вы хоть сколько-то заботитесь о приватных данных, запарольте их перед тем как заливать куда-угодно, это относится не только к вк. Полагаться на то что сервис защитит ваши данные довольно сомнительно, особенно учитывая сколько было шумихи вокруг этих вложений в вк.

–2
RankoR ,  

Само собой, я не буду отправлять скан паспорта или файл с паролями через ВК, даже в запароленном архиве. Но факт, что хоть какой-то файл может стать общедоступным неприятен.

+3
Kareshka ,  

Приватность загруженного документа автоматически меняется с «личного» на «другой» в том случае, если документ прикрепляется к комментарию или к записи на странице или в сообществе. При этом если сообщество было закрытым или частным, приватность документа меняться не будет (он останется личным и не будет доступен в поиске).

Документы, загруженные в личные сообщения, по-умолчанию всегда скрыты.

0
Kareshka ,  

«По умолчанию» без дефиса, конечно.

–2
RankoR ,  

Спасибо за ответ, но этот файл никуда более не прикреплялся, его только скачали и все. Специально уточнил у жены, которой, собственно, и отправлял.

0
Psychosynthesis ,   * (был изменён)

Давно, кстати, это заметил, но думал это у них фишка такая, ибо загружая туда различного рода курсовые и расчётки, видел в основном похожие работы от других студентов совершенно разных курсов, ну и думал что это что-то типа «контексного» поиска.

+1
Kiborg777 ,  

Удивляет само понятие «личный документ» в социальной сети и сама идея передачи важных документов вроде паспорта (.java file из личного проекта наверное можно передавать, хотя я бы не стал) используя социальные сети. Нет там ни одного непубличного документа по определению. Социальная сеть — это для общения, а не хранения личных «особо важных» документов. Если надо передать паспорт — используйте email. Моему папе за 70, но даже в его возрасте он научился пользоваться GPG в связке с Thunderbird (сделал ему GPG certificate без пароля, чтобы не запутывать) и знает, что любой документ, где есть его личные данные (или пароль) нужно посылать через GnuPG enabled email account на Thunderbird-e (если посылает мне. Если нужно послать третьему лицу, то деваться некуда).

Если ВК/Facebook/Одноклассники так необходимы для хранения и обмена паспортами и финансовой информацией, то хотя-бы архивируйте файл и ставьте пароль на архив или создайте encrypted pdf file с паролем (годится pdftk для этого), пароль можно сообщить по телефону или через email — все-таки в данном случае нет от ФСБ-ЦРУ-Моссада шифруемся, а от глюков социальных сетей.

+3
dm9 ,   * (был изменён)

> Моему папе за 70

А давайте наоборот. Я разрабочик образовательного веб-приложения для тех, кому 17-19.

У них нет культуры использования почты. Совсем. Всё общение идёт через ВК. Вам (как и мне полгода назад) даже представить себе это невозможно. А это так.

0
Kiborg777 ,  

Общение (привет-как дела — вот мои фотки — ой, у меня программа не работает, помоги мне) в веб-приложении — это нормально. Передавать и хранить достаточно важные документы (т.е. все, коме фотографий и то, смотря еще каких фотографий :) ) через социальные сети — ненормально.

0
arcan1s ,  

если 17-летний увалень не осилил догадаться, что нехорошо просто так пересылать приватные данные, то, как мне кажется, это печально

0
RankoR ,  

Ну это уже несколько раз обсуждалось тут, что не стоит передавать сканы и т.д. через соц. сеть. Это все понятно. Но суть-то в том, что вообще никакая информация из моей переписки не должна попадать третьим лицам. Совсем-совсем никакая, хоть фотка моего кота, если я ее лично не выложил. Потому что таким образом можно будет дойти до того, что будет открыто отображаться пароль, т.к. «ну вы же знали, что это соц. сеть, она для шаринга информации».