Интернет
Николай Чумаков
43 269

Во «ВКонтакте» можно увидеть фотографии с удалённых страниц. Соцсеть назвала это ошибкой и закрыла просмотр Материал редакции

Коснулось и удалённого профиля модели Анны Дурицкой, знакомой с Борисом Немцовым.

В закладки
Слушать
Альбомы со страницы Анны Дурицкой во «ВКонтакте» Скриншот профиля, удалённого несколько лет назад

Во «ВКонтакте» нашли уязвимость, которая позволяла посмотреть фотографии и альбомы с уже удалённых страниц. Соцсеть хранила информацию об уже удалённых фотографиях и альбомах — достаточно было пройти по прямой ссылке. На это обратил внимание читатель TJ.

Как работала уязвимость:

  • Берём удалённый профиль «ВКонтакте», например, страницу модели Анны Дурицкойhttp://vk.com/id14519819;
  • Информация на ней недоступна как по прямой ссылке, так и через кэш Google;
  • Проходим по прямой ссылке на альбомы Дурицкой во «ВКонтакте» — там доступны снимки со стены и страницы, которые хранились и после удаления профиля;
  • Когда «ВКонтакте» ещё не узнали об уязвимости, альбомы открывались по прямой ссылке. Однако посмотреть конкретные фотографии нельзя — выводилось сообщение об ошибке.

Во «ВКонтакте» заявили TJ, что произошедшее — ошибка в соцсети, коснувшаяся нескольких профилей. В пресс-службе отказались уточнить, сколько именно удалённых страниц коснулась уязвимость.

Речь идёт об ошибке, которая затронула незначительное количество профилей. Всё уже исправлено, благодарим за информацию.

пресс-служба «ВКонтакте»

Это не первый раз, когда пользователи заметили, что «ВКонтакте» хранит личные данные после удаления страницы. Летом 2018 года после скандала из-за сроков за репосты многие стали интересоваться, как удалить всю информацию о себе из соцсети.

Некоторые пользователи пожаловались, что «ВКонтакте» хранит переписку или сама восстанавливает страницы, а также заметили, что соцсеть убирала из правил пункт об удалении всей информации вместе с уничтожением профиля. Это может быть связано с законом Яровой: с 1 июля 2018 года соцсети и мессенджеры должны в течение шести месяцев хранить данные пользователей из России и предоставлять их по требованию спецслужб.

Спасибо за наводку Ded Pihto
ты узнаешь автора этих статей по заголовку, так что подписывайся — https://t-do.ru/cumonmychannel
{ "author_name": "Ded Pihto", "author_type": "self", "tags": ["\u0441\u0440\u043e\u043a\u0438\u0437\u0430\u0440\u0435\u043f\u043e\u0441\u0442\u044b","\u0441\u043e\u0446\u0441\u0435\u0442\u0438","\u043d\u043e\u0432\u043e\u0441\u0442\u0438","\u0432\u043a\u043e\u043d\u0442\u0430\u043a\u0442\u0435","\u0431\u043b\u043e\u043a\u0438\u0440\u043e\u0432\u043a\u0438"], "comments": 117, "likes": 127, "favorites": 12, "is_advertisement": false, "subsite_label": "internet", "id": 89408, "is_wide": false, "is_ugc": false, "date": "Sun, 03 Mar 2019 15:47:44 +0300", "is_special": false }
Объявление на TJ Отключить рекламу
0
117 комментариев
Популярные
По порядку
Написать комментарий...
1

Это откуда?

Ответить
2

Комментарий удален по просьбе пользователя

Ответить

Железнодорожный историк

DELETED
1

Прикольно))

Ответить
1

Комментарий удален по просьбе пользователя

Ответить
25

Комментарий удален по просьбе пользователя

Ответить
4

Раньше можно было скачивать приватные документы через апи.

Первый способ репортил на hackerone, сказали не уязвимость и дубликат

То же самое делал года два-полтора назад. Тот же самый ответ. Но, вроде, пофиксили. ВК хуесосы и не платят багбаунти.

Ответить
2

Видимо цена устранения уязвимости не соизмерима её критичности

Ответить
2

Комментарий удален по просьбе пользователя

Ответить
1

Ну это не дыра, ты же даже не логинился в api наверное перед вызовом этого метода, он открывает просто то что все и так видят

Ответить
0

Комментарий удален по просьбе пользователя

Ответить
3

Ну пох, в любом случае все эту фотку видят а ты можешь ещё один профиль создать и с него посмотреть если сильно приспичит

Ответить
1

фуллсайз аватарки

Только одну, которая установлена главной или весь аватарочный альбом?

Ответить
1

Комментарий удален по просьбе пользователя

Ответить
0

Комментарий удален по просьбе пользователя

Ответить
14

На всякий случай если редакция обратится к вк за комментариями, спрашивайте конкретно: "почему соцсеть до сих пор не удалила данные Дурицкой", а не "когда вы дыру закроете и продолжите хранить её фотографии как будто ничего не было"

Ответить
3

Уже спросили

Ответить
15

На всякий случй, если они ответят что не могут удалить данные "изза фрагментации", то спросите их, почему они в таком случае не затирают нулями занимаемое данными место на дисках. И ссылку ещё вот можете кинуть http://en.wikipedia.org/wiki/Gutmann_method

Ответить
6

Хорошо, спасиба

Ответить
13

Ну и нахрен ты статью переписываешь так будто это "уязвимость" и касалось вообще только одного её профиля? Это позиция вконтакта ничего не удалять, они закрыли доступ к просмотру её фоточек и продолжили их хранить.

Ответить
0

Где у меня написано про один профиль? И у меня к сожалению нет пруфов, что это постоянная практика, а не уязвимость

Ответить
7

Так напиши что вконтакт хранит удалённую информацию до сегодняшнего дня хотябы, пруфы этого я тебе принёс. Все альбомы всех удалённых профилей можно было смотреть а не только её. Я её профиль собственно выбрал случайно когда статью писал почесав репу а какого известного человека удалённый профиль я знаю

Ответить
0

Дополнил. Спасибо, что принес

Ответить
1

Во такой заголовок гораздо лучше. Был ещё случай когда удалённые профили вдруг ожили несколько лет назад, чёто я про это новость не могу найти на тж

Ответить
0

Не помню у нас такого

Ответить
–1

Вроде была на тж новость... ну хорошо на пикабу нашёл вот https://pikabu.ru/story/u_menya_sama_vosstanovilas_stranitsa_vkontakte_5050235

Ответить
0

Не, это какойто другой баг ещё... то было кажется раньше и открылись вообще все удалённые страницы на несколько часов пока их снова не спрятали. Вобщем это у них регулярно случается

Ответить
0

Upd: нет

Ответить
0

А мы это теперь не можем проверить, потому что везде кидает "Неизвестная ошибка" :(

Ответить
2

Но попробуем теперь открыть её альбомы http://vk.com/albums14519819 и о чудо, удалённая информация о модели, гулявшей с Немцовым в момент его убийства, чудесным образом восстановилась.

Уже не восстановилась

Ответить
0

Так уже удалила, можно посмотреть только обложку альбома

Ответить
10

Комментарий удален по просьбе пользователя

Ответить
7

Всегда рад помочь

Ответить
4

Никто ничего не удаляет при таких размерах. Удалять дороже чем хранить.

Ответить
2

Элементарно удалить или затереть нулями занимаемое фотографиями место на диске

Ответить
3

Как всегда, специалист по всем вопросам.

Ответить
27
Ответить
1

Как хорошо что ты знаешь где это.

Ответить

Российский хичхакер

Victor
0

Потому что они изначально заложили такую архитектуру хранения. А сейчас всё это переделывать очень муторно.

Ответить
2

Архитектура вечного хранения данных для нужд ФСБ. Паша Дуров старался

Ответить
0

Дада, майкрософт на страже фсб

Ответить
0

Чё?

Ответить
0

Потому что все так закладывали. Никто не хочет чтобы compaction costs взлетали до небес.

Ответить
1

Нет никаких costs и фрагментации, не обязательно занимаемое фотографиями место высвобождать чтобы их удалить

Ответить

Российский

Victor
0

Почитай про Azure Storage.

Ответить
0

Почитал. Правда пока поверхностно.

То что они отцепляют тебе data extents на среднем уровне не значит что они идут и что-то удаляют.

Плюс, таблица связи объектов и data extents тоже должна как-то компактиться.

Ответить
1

Ты видимо не знаешь, чтобы затереть нулями требуется время - это процесс записи, который всегда медленнее чем чтение. А время - деньги. Поэтому проще пометить что данные "удалены" и ебать диски ненужными действами.

Ответить
3

Один раз надо будет затереть фотографию при её удалении, один раз ты пишешь данные когда её загружают и один раз когда удаляют. Не считая того сколько тысяч раз в процессе хранения она перезаписывается с одного диска на другой для балансировки нагрузки и т.п.

А вот репутационные потери когда их ломанут и все удалённые данные появится на торрентах будут огромны. Впрочем им похуй на репутацию их задача просто собирать данные для ФСБ

Ответить
1

Что в лоб, что по лбу...

Ответить
0

Так это не дает гарантии же, потому что некоторые сектора могут не прочитаться при такой затирке. Надо колоть физический жесткий диск

Ответить
0

Списанные харды из датацентра надо конечно же колоть, с этим вроде ни у кого вопросов нет

Ответить
0

Но до этого момента все плохие сектора же останутся с данными. А это может быть пару лет!

Ответить
0

Пока хард в стойке стоит эти плохие сектора никто не прочитает и даже после того как его вынут из стойки надо невероятные усилия приложить чтоб прочитать хотябы часть этих данных

Ответить
0

Ну так ВК для кого хранит данные? для фсб, они должны смочь

Ответить
–11

Комментарий удален по просьбе пользователя

Ответить
0

Так удалить или затереть нулями? Ты уж, блядь, определись.

Ответить
0

Комментарий удален по просьбе пользователя

Ответить

Гениальный Илья

Victor
0

Так ладно сами файлы сложно удалить, но тут получается, что данные о них и альбомах в БД остаются.

Ответить
0

В БД они тоже остаются навсегда. Просто должны помечаться как удаленные и не протекать. Видимо тут баг.

Ответить
1

Как в таких случаях они будут исполнять gdpr? Ну и не только они, а и другие компании?

Ответить
0

Подозреваю что vk не очень думают про GDPR.

Но вообще вопрос уместный. Я в прошлом году много времени провёл модифицируя нашу систему чтобы сделать не GDPR-compliant.

Там ещё гигантская проблема с бэкапами, которые вообще не «модифицировать».

Ответить
2

не очень думают

Тогда желаю им жирных штрафов в каждом квартале.

Ответить
0

Я не знаю их правовой статус в EU, поэтому не могу комментировать.

Ответить
1

Бекапы перезаписываются постоянно и к ним нет доступа из сети, нет с бекапами никакой проблемы

Ответить
0

Только в твоём воображении. У меня инкрементальные бэкапы за 6 месяцев. Иди удали не потратив и доллара.

Ответить
1

Дурицкая удалилась четыре года назад

Ответить
0

Есть ещё объекты расследований (или люди проходящие по делам)

Я не знаю как в ВК, но у нас, когда приходит запрос из полиции/фбр, на всех пользователей фигурирующих в запросе или связанных с событием в запросе ставят флаг «не уделять», после которого им даже в GDPR удалении откажут.

И эти флаги (сюрприз-сюрприз) не снимаются в некоторых случаях, ибо некоторые товарищи из фбр забывают сообщить о закрытии дела.

Но повторюсь, в ВК может быть все по-другому.

Ответить
4

Значит все удалённые пользователи чьи альбомы я видел были под следствием. Впрочем логично. Все пользователи вконтакта это предмет интереса ФСБ.

А ты кем вконтакте работаешь что тебе уже методичку скинули как на вопросы об этой новости отвечать?

Ответить
0

Даже не был у них никогда. Но пара бывших коллег теперь (с прошлого года вроде) там работает.

Ответить

Гениальный Илья

Victor
0

С чего бы? ИМХО если страница удалена окончательно, надо убивать все связанные данные.

Ответить
0

НАДО, или хочется чтобы они так делали?

Если это не жесткое требование (а оно не жесткое) - то всегда проектировать будут систему с минимумом лишних операций.

Ответить
3

Да НАДО они так пишут в договоре пользовательском что удаляют все данные

Удаление персональной страницы Пользователя означает автоматическое удаление всей информации, размещенной на ней, а также всей информации Пользователя, введенной при регистрации на Сайте.

Удалить данные это не лишняя операция. Это защита пользовательских данных называется.

Ответить
0

Они же не говорят Когда. Автоматическое удаление через 10 лет. Тоже удаление.

Ответить
1
Ответить
–1

Дед, твой домашний адрес уже все знают. Можешь поехать домой (нахуй) и продолжать выдавать желаемое за действительное.

Ответить
0

А можно ли доебаться до формулировки? Т.е. они удаляют информацию "размещенную на странице", а не на своих серверах

Ответить
0

Доебаться можно до чего угодно и до кого угодно

Ответить

Поздний химик

4

Ничего не открывается

Ответить
4

Залогиниться надо

Ответить
4

Сами альбомы не открываются. Давай ссылки на фотки.

Ответить

Мучительный Паша

Elian
12

сам факт того, что альбомы есть и ты видишь превью как бы намекает, что данные на серваке, просто забыли добавить проверку доступа при открытие /albumXXXX

Ответить
1

Я не спорю. Но хотелось бы вытянуть фотки из таких профилей. Для демонстрации полного фейла.

Ответить

Мучительный Паша

Ded
1

сколько ей лет было?

Ответить

Поздний химик

Ded
0

Ага, всё открылось, в вэб-версии. В приложении не открывается

Ответить
4

Щас тебя ФСБ сдеанонят по тому, кто заходил на страницу этой девки и закроют как коммуниста-экстремиста

Ответить
–1

А я не заходил ) Я багу эту знаю уже больше года и сейчас аккуратно создал новость ни разу не переходя по ссылкам

Ответить
4

тогда откуда ты можешь быть уверен, что ее не пофиксили?

Ответить
2

Ну теперь то уже могу открыть когда все посмотрели

Ответить
2

То есть ты постил неподтвержденную новость?

Ответить
0

Новости 41 минута, меньше 1000 просмотров.
Все равно тебя с деанонить дел на полчаса для товарища майора

Ответить
1
Ответить
1

Комментарий удален по просьбе пользователя

Ответить
4

Когда «ВКонтакте» ещё не узнали об уязвимости

Чумаков, ВКонтакте не тёлка, не надо им вылизывать )
Не знали они блять, ага.

Ответить

Законодательный татарин

3

а также заметили, что соцсеть убирала из правил пункт об удалении всей информации вместе с уничтожением профиля.

Поэтому удаление страниц не имеет смысла, в отличие от настроек приватности. Более того, из-за удаления легче потерять контроль над своими данными, сохранность которых не обязательно должна обеспечиваться после отказа от предоставления услуг.

Это может быть связано с законом Яровой: с 1 июля 2018 года соцсети и мессенджеры должны в течение шести месяцев хранить данные пользователей из России и предоставлять их по требованию спецслужб.

Не только. Вообще им выгодно как можно дольше хранить данные даже без учёта новых поправок.

И ТЖ, ну сколько можно, не было никакого закона Яровой, вы выражаетесь бытовым языком, что в таких статьях недопустимо. Если хотите кратко, но корректно, то можно сказать «поправки Яровой» или «пакет Яровой—Озерова». Так-то там было два законопроекта с множеством поправок в различные нормативные акты: в ФЗ «О противодействии терроризму», в 40-ФЗ «О ФСБ», в 144-ФЗ «Об оперативно-розыскной деятельности», в 5-ФЗ «О внешней разведке», наконец, в УК РФ и УПК РФ и т. д.

Ответить
1

Комментарий удален по просьбе пользователя

Ответить
0

Тут Багосы нашли баг в вашей статье!

Ответить
2

А что третий профиль удалён? Ну напиши им что вопрос в том какого хуя вконтакт хранит данные с удалённых профилей. Ну и напиши что это уже прикрыли и теперь данные хранят но не светят. Суть статьи была именно в том что показать что вконтакт врёт и не удаляет данные пользователей

Ответить
0

Речь идёт об ошибке, которая затронула незначительное количество профилей. Всё уже исправлено

Открываем albums и до сих пор видим обложки альбомов азазаз

Ответить
0

По морде лица на обложке через сеарчфейс даже демотиваторы находятся. Не перестаю удивляться охуенности его работы.

Ответить
0

Какого хуя - закон Яровой

Ответить
0

Закон яровой это полгода или год, а они хранят всё и всегда, и даже не собираются удалять

Ответить
0

Ща дед пихто туда придет и наведет порядок

Ответить
0

Засекаем время, как быстро теперь прикроют её альбомы )

Ответить
2

Комментарий удален по просьбе пользователя

Ответить
0

Только сейчас заметил, что у Деда ник в Твиттере "Дядя Пихто"

Ответить
1

93,6 кг

Ответить
0

Твиттер палит настоящие имена пользователей.

Ответить

Демократический звук

Elian
0

Надо поменять ник в твиттере.

Ответить
0

Комментарий удален по просьбе пользователя

Ответить
1

Комментарий удален по просьбе пользователя

Ответить
0

Комментарий удален по просьбе пользователя

Ответить

Каменный глобус

0

Дед, ну ты как маленький

Ответить
0

К слову , про фотомодель сто лет ни слова..хотя казалось бы

Ответить
0

Почему ни слова, вот про квартиры подаренные немцовым рассказывает

Ответить
0

Все, "пофиксили", теперь выдает "Неизвестная ошибка"
Надо было скрин сделать

Ответить
0

ВК - дырявый как сыр

Ответить
0

А Инстаграм сториз не удаляет через 24 часа. На серваках они хранятся и после удаления

Ответить
Обсуждаемое
Интернет
В TikTok показали норвежскую клинику: с роботами, медицинской одеждой из терминалов и футуристичной отправкой лекарств
В соцсети больницу называют «другим миром» и сокрушаются об уровне медицины в своих странах.
Новости
Россия признала угрозой нацбезопасности легализацию каннабиса и пропаганду употребления наркотиков в интернете
Власти ожидают, что оценка наркоситуации в стране к 2030 году должна перейти из «напряжённой» в «нейтральную».
Новости
СК назвал полковника полиции подельником теракта в московском метро в 2010 году
Тогда погибли 39 человек.
Популярное за три дня
Интернет
«Какая разница, из чьих уст правда?»: порноактриса заявила о кремлеботах под раскритикованным постом о России без Путина
По её словам, «заинтересованные ребята» хотят доказать, что оппозицию представляют маргиналы, но это не так.
Дизайн и архитектура
Реконструкция дореволюционной мануфактуры в Москве: пластиковые фасады заменили на исторические, а парковки — на беседку
Ещё одну устаревшую промышленную зону превратили в современное общественное пространство.
Наука
Ключи от шкатулки Пандоры: нулевой пациент Эболы
Погибли тысячи людей, были потрачены миллиарды долларов, ВОЗ неоднократно предупреждала мир о возможности глобальной пандемии. Невероятными усилиями вспышки останавливали каждый раз, привлекали военных, врачей со всего земного шара. Разворачивались операции по спасению мира с десантом и оцеплением в десятки километров. Сегодня в разработке…

Комментарии

null