За время сбоя во «ВКонтакте» пользователи удалили десятки сообществ и «основали» несколько городов
«ВКонтакте» отчиталась о работе над устранением масштабного сбоя, во время которого обычные пользователи соцсети получили служебные права. По данным компании, новые «администраторы» успели удалить десятки сообществ и записей, а также заложить несколько вымышленных городов в географической базе. Как объяснили TJ во «ВКонтакте», предложенные названия для новых населённых пунктов в основном оказались нецензурными или бессвязными.
По данным «ВКонтакте», причиной сбоя стал «фатально невнимательный merge (слив) ветки, в которой переделывали один из внутренних интерфейсов». Все действия пользователей, получивших служебные права, сохранились в логах.
Отчасти из-за этого вакханалия продлилась всего четыре минуты — логи удивились такому количеству новых сотрудников, и сайт лёг.
Во «ВКонтакте» уточнили, что только в некоторых случаях пользователи соцсети получили все существующие права сотрудника. Обычно у модераторов, между которыми разделяют уровни ответственности, отсутствует доступ к полному комплекту прав. В компании также подчеркнули, что администраторы не могут получить права для просмотра приватных фотографий и чтения переписки.
Пользователи не изучали персональные данные других людей. Дополнительные проверки доступа к sensitive data работали, и посмотреть чужой IP-адрес или номер телефона никто не смог.
За время cбоя пользователи удалили один профиль, несколько фотографий и видеозаписей, заблокировали приложение из каталога и пополнили рекламный бюджет четырёх кабинетов. Некоторые «администраторы» прочитали служебную инструкцию спам-аналитиков, отправив несколько запросов с кандидатурами на эту должность.
Пользователи загрузили картинку с кроликами в раздел FAQ технической поддержки соцсети, а в публичном баг-трекере создали множество репортов. Последний раздел пока остаётся закрытым для «наведения порядка».
Мы откатились и начали изучать логи. Предстояло понять главное — была ли утечка персональных данных. Мы не могли проверить это мгновенно, поэтому запустили уничтожение автоматикой всех подряд скриншотов интерфейса, чтобы сдержать возможный слив sensitive data.
Как только стало достоверно известно, что утечки нет, выпиливание скриншотов остановили. Вернули утраченный контент, проанализировали причины случившегося и спланировали меры защиты от таких ситуаций.
Во «ВКонтакте» извинились перед своими пользователями и пообещали усовершенствовать внутренние процессы для того, чтобы избежать аналогичных ошибок в будущем.
В ночь на 21 марта пользователи «ВКонтакте» из-за сбоя получили доступ к баг-трекеру и другим инструментам модераторов. Пользователи развернули обсуждение ошибки на странице баг-трекера и получили полные права на управление сообществами. Вскоре администрация соцсети сообщила об устранении непредвиденного сбоя.