Во «ВКонтакте» можно увидеть фотографии с удалённых страниц. Соцсеть назвала это ошибкой и закрыла просмотр

Коснулось и удалённого профиля модели Анны Дурицкой, знакомой с Борисом Немцовым.

В закладки
Аудио
Альбомы со страницы Анны Дурицкой во «ВКонтакте» Скриншот профиля, удалённого несколько лет назад

Во «ВКонтакте» нашли уязвимость, которая позволяла посмотреть фотографии и альбомы с уже удалённых страниц. Соцсеть хранила информацию об уже удалённых фотографиях и альбомах — достаточно было пройти по прямой ссылке. На это обратил внимание читатель TJ.

Как работала уязвимость:

  • Берём удалённый профиль «ВКонтакте», например, страницу модели Анны Дурицкойhttp://vk.com/id14519819;
  • Информация на ней недоступна как по прямой ссылке, так и через кэш Google;
  • Проходим по прямой ссылке на альбомы Дурицкой во «ВКонтакте» — там доступны снимки со стены и страницы, которые хранились и после удаления профиля;
  • Когда «ВКонтакте» ещё не узнали об уязвимости, альбомы открывались по прямой ссылке. Однако посмотреть конкретные фотографии нельзя — выводилось сообщение об ошибке.

Во «ВКонтакте» заявили TJ, что произошедшее — ошибка в соцсети, коснувшаяся нескольких профилей. В пресс-службе отказались уточнить, сколько именно удалённых страниц коснулась уязвимость.

Речь идёт об ошибке, которая затронула незначительное количество профилей. Всё уже исправлено, благодарим за информацию.

пресс-служба «ВКонтакте»

Это не первый раз, когда пользователи заметили, что «ВКонтакте» хранит личные данные после удаления страницы. Летом 2018 года после скандала из-за сроков за репосты многие стали интересоваться, как удалить всю информацию о себе из соцсети.

Некоторые пользователи пожаловались, что «ВКонтакте» хранит переписку или сама восстанавливает страницы, а также заметили, что соцсеть убирала из правил пункт об удалении всей информации вместе с уничтожением профиля. Это может быть связано с законом Яровой: с 1 июля 2018 года соцсети и мессенджеры должны в течение шести месяцев хранить данные пользователей из России и предоставлять их по требованию спецслужб.

#соцсети #вконтакте #блокировки #срокизарепосты #новости

Спасибо за наводку Ded Pihto
{ "author_name": "Ded Pihto", "author_type": "self", "tags": ["\u0441\u0440\u043e\u043a\u0438\u0437\u0430\u0440\u0435\u043f\u043e\u0441\u0442\u044b","\u0441\u043e\u0446\u0441\u0435\u0442\u0438","\u043d\u043e\u0432\u043e\u0441\u0442\u0438","\u0432\u043a\u043e\u043d\u0442\u0430\u043a\u0442\u0435","\u0431\u043b\u043e\u043a\u0438\u0440\u043e\u0432\u043a\u0438"], "comments": 118, "likes": 127, "favorites": 11, "is_advertisement": false, "subsite_label": "internet", "id": 89408, "is_wide": false, "is_ugc": false, "date": "Sun, 03 Mar 2019 15:47:44 +0300" }
{ "id": 89408, "author_id": 18917, "diff_limit": 1000, "urls": {"diff":"\/comments\/89408\/get","add":"\/comments\/89408\/add","edit":"\/comments\/edit","remove":"\/admin\/comments\/remove","pin":"\/admin\/comments\/pin","get4edit":"\/comments\/get4edit","complain":"\/comments\/complain","load_more":"\/comments\/loading\/89408"}, "attach_limit": 2, "max_comment_text_length": 5000, "subsite_id": 214343, "last_count_and_date": null }
118 комментариев

Популярные

По порядку

Написать комментарий...
23

Комментарий удален по просьбе пользователя

Ответить
4

Раньше можно было скачивать приватные документы через апи.

Первый способ репортил на hackerone, сказали не уязвимость и дубликат

То же самое делал года два-полтора назад. Тот же самый ответ. Но, вроде, пофиксили. ВК хуесосы и не платят багбаунти.

Ответить
2

Видимо цена устранения уязвимости не соизмерима её критичности

Ответить
2

Комментарий удален по просьбе пользователя

Ответить
1

Ну это не дыра, ты же даже не логинился в api наверное перед вызовом этого метода, он открывает просто то что все и так видят

Ответить
0

Комментарий удален по просьбе пользователя

Ответить
3

Ну пох, в любом случае все эту фотку видят а ты можешь ещё один профиль создать и с него посмотреть если сильно приспичит

Ответить
1

фуллсайз аватарки

Только одну, которая установлена главной или весь аватарочный альбом?

Ответить
1

Комментарий удален по просьбе пользователя

Ответить
0

фича хуле

Ответить
13

На всякий случай если редакция обратится к вк за комментариями, спрашивайте конкретно: "почему соцсеть до сих пор не удалила данные Дурицкой", а не "когда вы дыру закроете и продолжите хранить её фотографии как будто ничего не было"

Ответить
3

Уже спросили

Ответить
14

На всякий случй, если они ответят что не могут удалить данные "изза фрагментации", то спросите их, почему они в таком случае не затирают нулями занимаемое данными место на дисках. И ссылку ещё вот можете кинуть http://en.wikipedia.org/wiki/Gutmann_method

Ответить
6

Хорошо, спасиба

Ответить
12

Ну и нахрен ты статью переписываешь так будто это "уязвимость" и касалось вообще только одного её профиля? Это позиция вконтакта ничего не удалять, они закрыли доступ к просмотру её фоточек и продолжили их хранить.

Ответить
0

Где у меня написано про один профиль? И у меня к сожалению нет пруфов, что это постоянная практика, а не уязвимость

Ответить
6

Так напиши что вконтакт хранит удалённую информацию до сегодняшнего дня хотябы, пруфы этого я тебе принёс. Все альбомы всех удалённых профилей можно было смотреть а не только её. Я её профиль собственно выбрал случайно когда статью писал почесав репу а какого известного человека удалённый профиль я знаю

Ответить
0

Дополнил. Спасибо, что принес

Ответить
1

Во такой заголовок гораздо лучше. Был ещё случай когда удалённые профили вдруг ожили несколько лет назад, чёто я про это новость не могу найти на тж

Ответить
0

Не помню у нас такого

Ответить
–1

Вроде была на тж новость... ну хорошо на пикабу нашёл вот https://pikabu.ru/story/u_menya_sama_vosstanovilas_stranitsa_vkontakte_5050235

Ответить
0

Не, это какойто другой баг ещё... то было кажется раньше и открылись вообще все удалённые страницы на несколько часов пока их снова не спрятали. Вобщем это у них регулярно случается

Ответить
0

Upd: нет

Ответить
0

А мы это теперь не можем проверить, потому что везде кидает "Неизвестная ошибка" :(

Ответить
2

Но попробуем теперь открыть её альбомы http://vk.com/albums14519819 и о чудо, удалённая информация о модели, гулявшей с Немцовым в момент его убийства, чудесным образом восстановилась.

Уже не восстановилась

Ответить
0

Так уже удалила, можно посмотреть только обложку альбома

Ответить
10

Спасибо, что напомнил, а то мы уже начали забывать очевидные вещи!

Ответить
7

Всегда рад помочь

Ответить
4

Никто ничего не удаляет при таких размерах. Удалять дороже чем хранить.

Ответить
2

Элементарно удалить или затереть нулями занимаемое фотографиями место на диске

Ответить
3

Как всегда, специалист по всем вопросам.

Ответить
1

Как хорошо что ты знаешь где это.

Ответить
0

Потому что они изначально заложили такую архитектуру хранения. А сейчас всё это переделывать очень муторно.

Ответить
2

Архитектура вечного хранения данных для нужд ФСБ. Паша Дуров старался

Ответить
0

Дада, майкрософт на страже фсб

Ответить
0

Чё?

Ответить
0

Потому что все так закладывали. Никто не хочет чтобы compaction costs взлетали до небес.

Ответить
1

Нет никаких costs и фрагментации, не обязательно занимаемое фотографиями место высвобождать чтобы их удалить

Ответить
0

Почитай про Azure Storage.

Ответить
0

Почитал. Правда пока поверхностно.

То что они отцепляют тебе data extents на среднем уровне не значит что они идут и что-то удаляют.

Плюс, таблица связи объектов и data extents тоже должна как-то компактиться.

Ответить
1

Ты видимо не знаешь, чтобы затереть нулями требуется время - это процесс записи, который всегда медленнее чем чтение. А время - деньги. Поэтому проще пометить что данные "удалены" и ебать диски ненужными действами.

Ответить
3

Один раз надо будет затереть фотографию при её удалении, один раз ты пишешь данные когда её загружают и один раз когда удаляют. Не считая того сколько тысяч раз в процессе хранения она перезаписывается с одного диска на другой для балансировки нагрузки и т.п.

А вот репутационные потери когда их ломанут и все удалённые данные появится на торрентах будут огромны. Впрочем им похуй на репутацию их задача просто собирать данные для ФСБ

Ответить
1

Что в лоб, что по лбу...

Ответить
0

Так это не дает гарантии же, потому что некоторые сектора могут не прочитаться при такой затирке. Надо колоть физический жесткий диск

Ответить
0

Списанные харды из датацентра надо конечно же колоть, с этим вроде ни у кого вопросов нет

Ответить
0

Но до этого момента все плохие сектора же останутся с данными. А это может быть пару лет!

Ответить
0

Пока хард в стойке стоит эти плохие сектора никто не прочитает и даже после того как его вынут из стойки надо невероятные усилия приложить чтоб прочитать хотябы часть этих данных

Ответить
0

Ну так ВК для кого хранит данные? для фсб, они должны смочь

Ответить
–11

ЕБЛО СЕБЕ УДАЛИ И ЗАТРИ НУЛЯМИ, АХАХАХАХАХАХАХАХАХ!!!

Ответить
0

Так удалить или затереть нулями? Ты уж, блядь, определись.

Ответить
0

Половину удалить, вторую затереть!

Ответить
0

Так ладно сами файлы сложно удалить, но тут получается, что данные о них и альбомах в БД остаются.

Ответить
0

В БД они тоже остаются навсегда. Просто должны помечаться как удаленные и не протекать. Видимо тут баг.

Ответить
1

Как в таких случаях они будут исполнять gdpr? Ну и не только они, а и другие компании?

Ответить
0

Подозреваю что vk не очень думают про GDPR.

Но вообще вопрос уместный. Я в прошлом году много времени провёл модифицируя нашу систему чтобы сделать не GDPR-compliant.

Там ещё гигантская проблема с бэкапами, которые вообще не «модифицировать».

Ответить
2

не очень думают

Тогда желаю им жирных штрафов в каждом квартале.

Ответить
0

Я не знаю их правовой статус в EU, поэтому не могу комментировать.

Ответить
1

Бекапы перезаписываются постоянно и к ним нет доступа из сети, нет с бекапами никакой проблемы

Ответить
0

Только в твоём воображении. У меня инкрементальные бэкапы за 6 месяцев. Иди удали не потратив и доллара.

Ответить
1

Дурицкая удалилась четыре года назад

Ответить
0

Есть ещё объекты расследований (или люди проходящие по делам)

Я не знаю как в ВК, но у нас, когда приходит запрос из полиции/фбр, на всех пользователей фигурирующих в запросе или связанных с событием в запросе ставят флаг «не уделять», после которого им даже в GDPR удалении откажут.

И эти флаги (сюрприз-сюрприз) не снимаются в некоторых случаях, ибо некоторые товарищи из фбр забывают сообщить о закрытии дела.

Но повторюсь, в ВК может быть все по-другому.

Ответить
4

Значит все удалённые пользователи чьи альбомы я видел были под следствием. Впрочем логично. Все пользователи вконтакта это предмет интереса ФСБ.

А ты кем вконтакте работаешь что тебе уже методичку скинули как на вопросы об этой новости отвечать?

Ответить
0

Даже не был у них никогда. Но пара бывших коллег теперь (с прошлого года вроде) там работает.

Ответить
0

С чего бы? ИМХО если страница удалена окончательно, надо убивать все связанные данные.

Ответить
0

НАДО, или хочется чтобы они так делали?

Если это не жесткое требование (а оно не жесткое) - то всегда проектировать будут систему с минимумом лишних операций.

Ответить
3

Да НАДО они так пишут в договоре пользовательском что удаляют все данные

Удаление персональной страницы Пользователя означает автоматическое удаление всей информации, размещенной на ней, а также всей информации Пользователя, введенной при регистрации на Сайте.

Удалить данные это не лишняя операция. Это защита пользовательских данных называется.

Ответить
0

Они же не говорят Когда. Автоматическое удаление через 10 лет. Тоже удаление.

Ответить
–1

Дед, твой домашний адрес уже все знают. Можешь поехать домой (нахуй) и продолжать выдавать желаемое за действительное.

Ответить
0

А можно ли доебаться до формулировки? Т.е. они удаляют информацию "размещенную на странице", а не на своих серверах

Ответить
0

Доебаться можно до чего угодно и до кого угодно

Ответить
4

Ничего не открывается

Ответить
4

Залогиниться надо

Ответить
4

Сами альбомы не открываются. Давай ссылки на фотки.

Ответить
12

сам факт того, что альбомы есть и ты видишь превью как бы намекает, что данные на серваке, просто забыли добавить проверку доступа при открытие /albumXXXX

Ответить
1

Я не спорю. Но хотелось бы вытянуть фотки из таких профилей. Для демонстрации полного фейла.

Ответить
1

сколько ей лет было?

Ответить
0

Ага, всё открылось, в вэб-версии. В приложении не открывается

Ответить
4

Щас тебя ФСБ сдеанонят по тому, кто заходил на страницу этой девки и закроют как коммуниста-экстремиста

Ответить
–1

А я не заходил ) Я багу эту знаю уже больше года и сейчас аккуратно создал новость ни разу не переходя по ссылкам

Ответить
4

тогда откуда ты можешь быть уверен, что ее не пофиксили?

Ответить
2

Ну теперь то уже могу открыть когда все посмотрели

Ответить
2

То есть ты постил неподтвержденную новость?

Ответить
0

Новости 41 минута, меньше 1000 просмотров.
Все равно тебя с деанонить дел на полчаса для товарища майора

Ответить
1

А он разве не товарищ Майор в овечьей шкуре?

Ответить
4

Когда «ВКонтакте» ещё не узнали об уязвимости

Чумаков, ВКонтакте не тёлка, не надо им вылизывать )
Не знали они блять, ага.

Ответить
3

а также заметили, что соцсеть убирала из правил пункт об удалении всей информации вместе с уничтожением профиля.

Поэтому удаление страниц не имеет смысла, в отличие от настроек приватности. Более того, из-за удаления легче потерять контроль над своими данными, сохранность которых не обязательно должна обеспечиваться после отказа от предоставления услуг.

Это может быть связано с законом Яровой: с 1 июля 2018 года соцсети и мессенджеры должны в течение шести месяцев хранить данные пользователей из России и предоставлять их по требованию спецслужб.

Не только. Вообще им выгодно как можно дольше хранить данные даже без учёта новых поправок.

И ТЖ, ну сколько можно, не было никакого закона Яровой, вы выражаетесь бытовым языком, что в таких статьях недопустимо. Если хотите кратко, но корректно, то можно сказать «поправки Яровой» или «пакет Яровой—Озерова». Так-то там было два законопроекта с множеством поправок в различные нормативные акты: в ФЗ «О противодействии терроризму», в 40-ФЗ «О ФСБ», в 144-ФЗ «Об оперативно-розыскной деятельности», в 5-ФЗ «О внешней разведке», наконец, в УК РФ и УПК РФ и т. д.

Ответить
1

уже ошибка доступа

Ответить
0

Тут Багосы нашли баг в вашей статье!

Ответить
2

А что третий профиль удалён? Ну напиши им что вопрос в том какого хуя вконтакт хранит данные с удалённых профилей. Ну и напиши что это уже прикрыли и теперь данные хранят но не светят. Суть статьи была именно в том что показать что вконтакт врёт и не удаляет данные пользователей

Ответить
0

Речь идёт об ошибке, которая затронула незначительное количество профилей. Всё уже исправлено

Открываем albums и до сих пор видим обложки альбомов азазаз

Ответить
0

По морде лица на обложке через сеарчфейс даже демотиваторы находятся. Не перестаю удивляться охуенности его работы.

Ответить
0

Какого хуя - закон Яровой

Ответить
0

Закон яровой это полгода или год, а они хранят всё и всегда, и даже не собираются удалять

Ответить
0

Ща дед пихто туда придет и наведет порядок

Ответить
0

Засекаем время, как быстро теперь прикроют её альбомы )

Ответить
2

только её альбомы...

Ответить
0

Только сейчас заметил, что у Деда ник в Твиттере "Дядя Пихто"

Ответить
1

93,6 кг

Ответить
0

Твиттер палит настоящие имена пользователей.

Ответить
0

Надо поменять ник в твиттере.

Ответить
0

Этому "багу" туева хуча лет

Ответить
1

Комментарий удален по просьбе пользователя

Ответить
0

Комментарий удален по просьбе пользователя

Ответить
0

Дед, ну ты как маленький

Ответить
0

К слову , про фотомодель сто лет ни слова..хотя казалось бы

Ответить
0

Почему ни слова, вот про квартиры подаренные немцовым рассказывает

Ответить
0

Все, "пофиксили", теперь выдает "Неизвестная ошибка"
Надо было скрин сделать

Ответить
0

ВК - дырявый как сыр

Ответить
0

А Инстаграм сториз не удаляет через 24 часа. На серваках они хранятся и после удаления

Ответить
0

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "i", "ps": "cndo", "p2": "fizc" } } }, { "id": 4, "label": "240х200_mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "i", "ps": "cndo", "p2": "flbq" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfk" } } }, { "id": 6, "disable": true, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "clmf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byswn", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "cndo", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223677-0", "render_to": "inpage_VI-223677-0-130073047", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=cndo&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Плашка на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudv", "p2": "ftjf" } } }, { "id": 16, "label": "Кнопка в шапке мобайл", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "ccydt", "p2": "ftwx" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fzvc" } } } ]
Не пропустите самое важное,
что происходит в интернете
Подписаться на push-уведомления