23 мая 2014 в 15:53 (МСК) | сохранено

Некоторые вложения в чатах ВКонтакте доступны всем в черновиках

Этот пост и на пост-то не очень похож, скорее это небольшая заметка. Но не поделиться ею я не могу — нужно, во-первых, предупредить тех, кто об этом не знает, во-вторых, возможно, это как-то повлияет на решение проблемы со стороны ВК.

Я полагаю, многие в курсе, что в «документах» ВКонтакте можно найти кучу приватной информации, в т.ч. сканы различных документов. До сегодняшнего дня я предполагал, что люди сами загружают их в «документы». Оказалось, что все намного хуже.

Когда вы отправляете личное сообщение с каким-либо аттачем типа «документ», оно загружается в «документы». ~~Настроек приватности документов ВК нет~~ есть, но они индивидуальны для каждого документа и делаются уже после загрузки.
Несколько дней назад я отправлял жене небольшой исходник на Java, имя файла — Blowfish.java. Я его отправил через ЛС —> «прикрепить документ». Сегодня я зашел в раздел «документы» и увидел его там. После этого у меня возникло подозрение, и я попросил коллегу (которого у меня нет в друзьях) тоже зайти в документы (свои) и ввести в поле поиска «Blowfish.java». И конечно же он нашел там мой файл.

Мои настройки приватности

Как это все выглядит

Понятно, что это не баг, потому его можно постить в открытый доступ, и что надо думать, какие документы отправляешь через соц. сеть (я, конечно же, ничего важного там не отправляю), но я считаю, что такое поведение должно быть более очевидным для пользователя. Даже я, будучи IT-шником, не подозревал, что все те файлы, которые я передаю собеседнику, доступны всем.

В саппорт я отписал со ссылкой на пост, буду держать в курсе.

Upd. Если прикрепить фотографию, в поиске она по умолчанию доступна не будет. Тем не менее, некоторые типы файлов распознаются не как «личный документ» и доступны в поиске.
Upd 2. Настройки приватности выставляются непонятным образом. Сейчас прошелся по своим документам — большая часть из них помечена как «личный документ», однако некоторые доступны публично, и зависимости от типа файла я не вижу. При этом я настроек никаких аттачей не менял, т.к. узнал о такой возможности только сейчас.

вконтакте, приватность

RankoR

комментарии (37)

+10

+11 –1

LuckyReveal , 23 мая 2014 в 15:57 (МСК)

>Настроек приватности документов ВК нет.

Да вы что?

+11

+12 –1

RankoR , 23 мая 2014 в 15:58 (МСК) * (был изменён)

Это делается уже после загрузки, до (и в процессе) загрузки этого нет, и такое поведение не очевидно (пост подкорректировал)

vilgeforce , 23 мая 2014 в 15:59 (МСК)

С очевидностью там вообще проблемы :-D

LuckyReveal , 23 мая 2014 в 16:00 (МСК) * (был изменён)

Вот минуту назад отправил товарищу два файла, .ipa и .pdf. Далее я зашел в настройки этих документов и увидел аналогичную картину той, что скинута мной выше.

–1

+1 –2

RankoR , 23 мая 2014 в 16:03 (МСК) * (был изменён)

Скрин

Я настройки не менял, вот такие они по умолчанию.

Пример: я глупый пользователь, отправляю кому-то скан паспорта, и, допустим, знаю, что можно изменить настройки приватности. Я залил документ, отправил собеседнику, после чего я меняю настройки приватности. Но на это уходит время, и мой скан легко могут найти за эти несколько десятков секунд.
А теперь предположим, что я об этих настройках не знаю, т.к. они запрятаны, скажем так, далековато — лично я о них узнал от вас.

LuckyReveal , 23 мая 2014 в 16:08 (МСК)

Скорее всего, парсер ВК признает расширение .java как файл, обычно распространяющийся публично и в данном случае подстраивается под пользователя. Попробуйте залить .docx или же аналогичный формат документов.

+1 –1

RankoR , 23 мая 2014 в 16:12 (МСК)

Проверил — работает не для всех типов файлов, для фото, например, сейчас ставится флаг «личный документ». Пост отредактировал.

+1 –1

RankoR , 23 мая 2014 в 18:08 (МСК) * (был изменён)

Кстати, сейчас позаливал самых разных файлов — все отметились как приватные. В том числе и *.java.

ID120 , 23 мая 2014 в 16:13 (МСК) * (был изменён)

В общем случае, отправлять важные документы посредством ВК — довольно сомнительное занятие, и тут дело вовсе не в настройках безопасности сайта. Но вообще ситуация неоднозначная.

Поищем скан паспорта

Zlobober , 23 мая 2014 в 18:22 (МСК)

«Голый Путин, дуров, Порно» это пять.

–21

+3 –24

brainfucker , 23 мая 2014 в 16:20 (МСК)

Бред загружённые документы отображаются в разделе документов только для текущего пользователя и не находятся в поиске. Большой минус автору за вранье

+2 –2

RankoR , 23 мая 2014 в 16:22 (МСК) * (был изменён)

Не поленитесь и поищите «скан паспорта». Вы действительно считаете, что люди, которые отправляли сканы через ВК, специально заходили в документ и ставили галочку «доступно всем»?
Лично у меня эти галочки расставлены странным образом, хотя я их ни разу не менял.

–7

+1 –8

brainfucker , 23 мая 2014 в 16:58 (МСК)

А вы попробуйте загрузить документ в личные сообщения и потом найти его с другого пользователя. Что странного в том, что люди загружают паспорта в раздел документов, делая их публичными

+2 –1

lllypyn , 23 мая 2014 в 16:22 (МСК)

Вы шутите? Вы хоть попробовали ввести что то типа «паспорт»?

–2

+3 –5

brainfucker , 23 мая 2014 в 16:58 (МСК)

а вы пробовали в гугле ввести что то типа «паспорт»

lllypyn , 23 мая 2014 в 17:00 (МСК)

Логичнее было бы привести пример скажем с gmail.

–3

+1 –4

brainfucker , 23 мая 2014 в 17:11 (МСК)

Хорошо, Вы пытаетесь всех убедить что в google находятся документы отправленные в gmail, ссылаясь на то, что в google можно найти паспорт.

lllypyn , 23 мая 2014 в 17:39 (МСК)

Я хочу убедить вас в том, что документы которые я отправлял адресатам, должны быть доступны только адресатам. А не тем умельцам которые знают как работает поисковая строка. Способ озвученный автором позволяет предположить, что многие документы высылаемые пользователями «вконтакте» не должны были попадать на всеобщее обозрение.

RankoR , 23 мая 2014 в 17:13 (МСК)

Это абсолютно разные вещи. Есть конкретный пример, когда документ неявно стал публичным, будучи отправленным через сообщения. И очень хотелось бы узнать, каким образом это произошло.

+1 –1

monitoringe , 23 мая 2014 в 16:23 (МСК)

Так или иначе проблема явно возникла не только у вас. Достаточно посмотреть выдачу по запросу «Пароль», даже беглый просмотр позволяет найти доступы к аккаунтам и т.д.

–1

leonaded , 23 мая 2014 в 16:29 (МСК) * (был изменён)

А что я делаю не так?

Заливаю файл через меню «прикрепить» в Диалогах:

Скрытый текст

Ищу уже с другого аккаунта в Документах тот же самый файл:

Скрытый текст

RankoR , 23 мая 2014 в 16:32 (МСК) * (был изменён)

Алгоритм автовыставления флажков приватности не ясен, я уже написал об этом в посте. Воспроизвести сейчас и у меня не получается, но есть факт: куча приватных файлов доступна в поиске, в том числе и мой файл.

–2

leonaded , 23 мая 2014 в 16:35 (МСК) * (был изменён)

А причём тут флажки? Если заливать файл через меню «прикрепить» в Диалогах, то он будет загружен как личный.

RankoR , 23 мая 2014 в 16:38 (МСК) * (был изменён)

Конкретно в моем случае он оказался доступным всем. И достаточно логично, что люди те же сканы паспортов скорее всего отправляют в ЛС напрямую, а не просто заливают в документы.

dIsoVi , 23 мая 2014 в 17:13 (МСК)

доброе утро habrahabr.ru/post/132108/

–1

RankoR , 23 мая 2014 в 17:19 (МСК)

Да, это релевантно к данному посту и сам факт доступности приватной инфы общеизвестен. Суть топика в том, что в некоторых случаях документ становится публичным, и при этом не ясно в каких.

dIsoVi , 23 мая 2014 в 17:22 (МСК)

если вы хоть сколько-то заботитесь о приватных данных, запарольте их перед тем как заливать куда-угодно, это относится не только к вк. Полагаться на то что сервис защитит ваши данные довольно сомнительно, особенно учитывая сколько было шумихи вокруг этих вложений в вк.

–2

RankoR , 23 мая 2014 в 17:27 (МСК)

Само собой, я не буду отправлять скан паспорта или файл с паролями через ВК, даже в запароленном архиве. Но факт, что хоть какой-то файл может стать общедоступным неприятен.

Kareshka , 23 мая 2014 в 18:22 (МСК)

Приватность загруженного документа автоматически меняется с «личного» на «другой» в том случае, если документ прикрепляется к комментарию или к записи на странице или в сообществе. При этом если сообщество было закрытым или частным, приватность документа меняться не будет (он останется личным и не будет доступен в поиске).

Документы, загруженные в личные сообщения, по-умолчанию всегда скрыты.

Kareshka , 23 мая 2014 в 18:44 (МСК)

«По умолчанию» без дефиса, конечно.

–2

RankoR , 23 мая 2014 в 21:18 (МСК)

Спасибо за ответ, но этот файл никуда более не прикреплялся, его только скачали и все. Специально уточнил у жены, которой, собственно, и отправлял.

Psychosynthesis , 23 мая 2014 в 19:19 (МСК) * (был изменён)

Давно, кстати, это заметил, но думал это у них фишка такая, ибо загружая туда различного рода курсовые и расчётки, видел в основном похожие работы от других студентов совершенно разных курсов, ну и думал что это что-то типа «контексного» поиска.

Kiborg777 , 23 мая 2014 в 20:00 (МСК)

Удивляет само понятие «личный документ» в социальной сети и сама идея передачи важных документов вроде паспорта (.java file из личного проекта наверное можно передавать, хотя я бы не стал) используя социальные сети. Нет там ни одного непубличного документа по определению. Социальная сеть — это для общения, а не хранения личных «особо важных» документов. Если надо передать паспорт — используйте email. Моему папе за 70, но даже в его возрасте он научился пользоваться GPG в связке с Thunderbird (сделал ему GPG certificate без пароля, чтобы не запутывать) и знает, что любой документ, где есть его личные данные (или пароль) нужно посылать через GnuPG enabled email account на Thunderbird-e (если посылает мне. Если нужно послать третьему лицу, то деваться некуда).

Если ВК/Facebook/Одноклассники так необходимы для хранения и обмена паспортами и финансовой информацией, то хотя-бы архивируйте файл и ставьте пароль на архив или создайте encrypted pdf file с паролем (годится pdftk для этого), пароль можно сообщить по телефону или через email — все-таки в данном случае нет от ФСБ-ЦРУ-Моссада шифруемся, а от глюков социальных сетей.

dm9 , 23 мая 2014 в 20:39 (МСК) * (был изменён)

> Моему папе за 70

А давайте наоборот. Я разрабочик образовательного веб-приложения для тех, кому 17-19.

У них нет культуры использования почты. Совсем. Всё общение идёт через ВК. Вам (как и мне полгода назад) даже представить себе это невозможно. А это так.

Kiborg777 , 23 мая 2014 в 20:50 (МСК)

Общение (привет-как дела — вот мои фотки — ой, у меня программа не работает, помоги мне) в веб-приложении — это нормально. Передавать и хранить достаточно важные документы (т.е. все, коме фотографий и то, смотря еще каких фотографий :) ) через социальные сети — ненормально.

arcan1s , 24 мая 2014 в 03:00 (МСК)

если 17-летний увалень не осилил догадаться, что нехорошо просто так пересылать приватные данные, то, как мне кажется, это печально

RankoR , 23 мая 2014 в 21:21 (МСК)

Ну это уже несколько раз обсуждалось тут, что не стоит передавать сканы и т.д. через соц. сеть. Это все понятно. Но суть-то в том, что вообще никакая информация из моей переписки не должна попадать третьим лицам. Совсем-совсем никакая, хоть фотка моего кота, если я ее лично не выложил. Потому что таким образом можно будет дойти до того, что будет открыто отображаться пароль, т.к. «ну вы же знали, что это соц. сеть, она для шаринга информации».