Во «ВКонтакте» можно увидеть фотографии с удалённых страниц. Соцсеть назвала это ошибкой и закрыла просмотр Материал редакции

Коснулось и удалённого профиля модели Анны Дурицкой, знакомой с Борисом Немцовым.

В закладки
Аудио
Альбомы со страницы Анны Дурицкой во «ВКонтакте» Скриншот профиля, удалённого несколько лет назад

Во «ВКонтакте» нашли уязвимость, которая позволяла посмотреть фотографии и альбомы с уже удалённых страниц. Соцсеть хранила информацию об уже удалённых фотографиях и альбомах — достаточно было пройти по прямой ссылке. На это обратил внимание читатель TJ.

Как работала уязвимость:

  • Берём удалённый профиль «ВКонтакте», например, страницу модели Анны Дурицкойhttp://vk.com/id14519819;
  • Информация на ней недоступна как по прямой ссылке, так и через кэш Google;
  • Проходим по прямой ссылке на альбомы Дурицкой во «ВКонтакте» — там доступны снимки со стены и страницы, которые хранились и после удаления профиля;
  • Когда «ВКонтакте» ещё не узнали об уязвимости, альбомы открывались по прямой ссылке. Однако посмотреть конкретные фотографии нельзя — выводилось сообщение об ошибке.

Во «ВКонтакте» заявили TJ, что произошедшее — ошибка в соцсети, коснувшаяся нескольких профилей. В пресс-службе отказались уточнить, сколько именно удалённых страниц коснулась уязвимость.

Речь идёт об ошибке, которая затронула незначительное количество профилей. Всё уже исправлено, благодарим за информацию.

пресс-служба «ВКонтакте»

Это не первый раз, когда пользователи заметили, что «ВКонтакте» хранит личные данные после удаления страницы. Летом 2018 года после скандала из-за сроков за репосты многие стали интересоваться, как удалить всю информацию о себе из соцсети.

Некоторые пользователи пожаловались, что «ВКонтакте» хранит переписку или сама восстанавливает страницы, а также заметили, что соцсеть убирала из правил пункт об удалении всей информации вместе с уничтожением профиля. Это может быть связано с законом Яровой: с 1 июля 2018 года соцсети и мессенджеры должны в течение шести месяцев хранить данные пользователей из России и предоставлять их по требованию спецслужб.

Спасибо за наводку Ded Pihto
{ "author_name": "Ded Pihto", "author_type": "self", "tags": ["\u0441\u0440\u043e\u043a\u0438\u0437\u0430\u0440\u0435\u043f\u043e\u0441\u0442\u044b","\u0441\u043e\u0446\u0441\u0435\u0442\u0438","\u043d\u043e\u0432\u043e\u0441\u0442\u0438","\u0432\u043a\u043e\u043d\u0442\u0430\u043a\u0442\u0435","\u0431\u043b\u043e\u043a\u0438\u0440\u043e\u0432\u043a\u0438"], "comments": 118, "likes": 127, "favorites": 12, "is_advertisement": false, "subsite_label": "internet", "id": 89408, "is_wide": false, "is_ugc": false, "date": "Sun, 03 Mar 2019 15:47:44 +0300", "is_special": false }
0
{ "id": 89408, "author_id": 18917, "diff_limit": 1000, "urls": {"diff":"\/comments\/89408\/get","add":"\/comments\/89408\/add","edit":"\/comments\/edit","remove":"\/admin\/comments\/remove","pin":"\/admin\/comments\/pin","get4edit":"\/comments\/get4edit","complain":"\/comments\/complain","load_more":"\/comments\/loading\/89408"}, "attach_limit": 2, "max_comment_text_length": 5000, "subsite_id": 214343, "last_count_and_date": null }
118 комментариев
Популярные
По порядку
Написать комментарий...
2

Комментарий удален по просьбе пользователя

Ответить
1

Прикольно))

Ответить
1

Комментарий удален по просьбе пользователя

Ответить
24

Комментарий удален по просьбе пользователя

Ответить
4

Раньше можно было скачивать приватные документы через апи.

Первый способ репортил на hackerone, сказали не уязвимость и дубликат

То же самое делал года два-полтора назад. Тот же самый ответ. Но, вроде, пофиксили. ВК хуесосы и не платят багбаунти.

Ответить
2

Видимо цена устранения уязвимости не соизмерима её критичности

Ответить
2

Комментарий удален по просьбе пользователя

Ответить
1

Ну это не дыра, ты же даже не логинился в api наверное перед вызовом этого метода, он открывает просто то что все и так видят

Ответить
0

Комментарий удален по просьбе пользователя

Ответить
3

Ну пох, в любом случае все эту фотку видят а ты можешь ещё один профиль создать и с него посмотреть если сильно приспичит

Ответить
1

фуллсайз аватарки

Только одну, которая установлена главной или весь аватарочный альбом?

Ответить
1

Комментарий удален по просьбе пользователя

Ответить
0

фича хуле

Ответить
13

На всякий случай если редакция обратится к вк за комментариями, спрашивайте конкретно: "почему соцсеть до сих пор не удалила данные Дурицкой", а не "когда вы дыру закроете и продолжите хранить её фотографии как будто ничего не было"

Ответить
3

Уже спросили

Ответить
14

На всякий случй, если они ответят что не могут удалить данные "изза фрагментации", то спросите их, почему они в таком случае не затирают нулями занимаемое данными место на дисках. И ссылку ещё вот можете кинуть http://en.wikipedia.org/wiki/Gutmann_method

Ответить
6

Хорошо, спасиба

Ответить
12

Ну и нахрен ты статью переписываешь так будто это "уязвимость" и касалось вообще только одного её профиля? Это позиция вконтакта ничего не удалять, они закрыли доступ к просмотру её фоточек и продолжили их хранить.

Ответить
0

Где у меня написано про один профиль? И у меня к сожалению нет пруфов, что это постоянная практика, а не уязвимость

Ответить
6

Так напиши что вконтакт хранит удалённую информацию до сегодняшнего дня хотябы, пруфы этого я тебе принёс. Все альбомы всех удалённых профилей можно было смотреть а не только её. Я её профиль собственно выбрал случайно когда статью писал почесав репу а какого известного человека удалённый профиль я знаю

Ответить
0

Дополнил. Спасибо, что принес

Ответить
1

Во такой заголовок гораздо лучше. Был ещё случай когда удалённые профили вдруг ожили несколько лет назад, чёто я про это новость не могу найти на тж

Ответить
0

Не помню у нас такого

Ответить
–1

Вроде была на тж новость... ну хорошо на пикабу нашёл вот https://pikabu.ru/story/u_menya_sama_vosstanovilas_stranitsa_vkontakte_5050235

Ответить
0

Не, это какойто другой баг ещё... то было кажется раньше и открылись вообще все удалённые страницы на несколько часов пока их снова не спрятали. Вобщем это у них регулярно случается

Ответить
0

Upd: нет

Ответить
0

А мы это теперь не можем проверить, потому что везде кидает "Неизвестная ошибка" :(

Ответить
2

Но попробуем теперь открыть её альбомы http://vk.com/albums14519819 и о чудо, удалённая информация о модели, гулявшей с Немцовым в момент его убийства, чудесным образом восстановилась.

Уже не восстановилась

Ответить
0

Так уже удалила, можно посмотреть только обложку альбома

Ответить
10

Спасибо, что напомнил, а то мы уже начали забывать очевидные вещи!

Ответить
7

Всегда рад помочь

Ответить
4

Никто ничего не удаляет при таких размерах. Удалять дороже чем хранить.

Ответить
2

Элементарно удалить или затереть нулями занимаемое фотографиями место на диске

Ответить
3

Как всегда, специалист по всем вопросам.

Ответить
1

Как хорошо что ты знаешь где это.

Ответить
0

Потому что они изначально заложили такую архитектуру хранения. А сейчас всё это переделывать очень муторно.

Ответить
2

Архитектура вечного хранения данных для нужд ФСБ. Паша Дуров старался

Ответить
0

Дада, майкрософт на страже фсб

Ответить
0

Чё?

Ответить
0

Потому что все так закладывали. Никто не хочет чтобы compaction costs взлетали до небес.

Ответить
1

Нет никаких costs и фрагментации, не обязательно занимаемое фотографиями место высвобождать чтобы их удалить

Ответить
0

Почитай про Azure Storage.

Ответить
0

Почитал. Правда пока поверхностно.

То что они отцепляют тебе data extents на среднем уровне не значит что они идут и что-то удаляют.

Плюс, таблица связи объектов и data extents тоже должна как-то компактиться.

Ответить
1

Ты видимо не знаешь, чтобы затереть нулями требуется время - это процесс записи, который всегда медленнее чем чтение. А время - деньги. Поэтому проще пометить что данные "удалены" и ебать диски ненужными действами.

Ответить
3

Один раз надо будет затереть фотографию при её удалении, один раз ты пишешь данные когда её загружают и один раз когда удаляют. Не считая того сколько тысяч раз в процессе хранения она перезаписывается с одного диска на другой для балансировки нагрузки и т.п.

А вот репутационные потери когда их ломанут и все удалённые данные появится на торрентах будут огромны. Впрочем им похуй на репутацию их задача просто собирать данные для ФСБ

Ответить
1

Что в лоб, что по лбу...

Ответить
0

Так это не дает гарантии же, потому что некоторые сектора могут не прочитаться при такой затирке. Надо колоть физический жесткий диск

Ответить
0

Списанные харды из датацентра надо конечно же колоть, с этим вроде ни у кого вопросов нет

Ответить
0

Но до этого момента все плохие сектора же останутся с данными. А это может быть пару лет!

Ответить
0

Пока хард в стойке стоит эти плохие сектора никто не прочитает и даже после того как его вынут из стойки надо невероятные усилия приложить чтоб прочитать хотябы часть этих данных

Ответить
0

Ну так ВК для кого хранит данные? для фсб, они должны смочь

Ответить
–11

Комментарий удален по просьбе пользователя

Ответить
0

Так удалить или затереть нулями? Ты уж, блядь, определись.

Ответить
0

Комментарий удален по просьбе пользователя

Ответить
0

Так ладно сами файлы сложно удалить, но тут получается, что данные о них и альбомах в БД остаются.

Ответить
0

В БД они тоже остаются навсегда. Просто должны помечаться как удаленные и не протекать. Видимо тут баг.

Ответить
1

Как в таких случаях они будут исполнять gdpr? Ну и не только они, а и другие компании?

Ответить
0

Подозреваю что vk не очень думают про GDPR.

Но вообще вопрос уместный. Я в прошлом году много времени провёл модифицируя нашу систему чтобы сделать не GDPR-compliant.

Там ещё гигантская проблема с бэкапами, которые вообще не «модифицировать».

Ответить
2

не очень думают

Тогда желаю им жирных штрафов в каждом квартале.

Ответить
0

Я не знаю их правовой статус в EU, поэтому не могу комментировать.

Ответить
1

Бекапы перезаписываются постоянно и к ним нет доступа из сети, нет с бекапами никакой проблемы

Ответить
0

Только в твоём воображении. У меня инкрементальные бэкапы за 6 месяцев. Иди удали не потратив и доллара.

Ответить
1

Дурицкая удалилась четыре года назад

Ответить
0

Есть ещё объекты расследований (или люди проходящие по делам)

Я не знаю как в ВК, но у нас, когда приходит запрос из полиции/фбр, на всех пользователей фигурирующих в запросе или связанных с событием в запросе ставят флаг «не уделять», после которого им даже в GDPR удалении откажут.

И эти флаги (сюрприз-сюрприз) не снимаются в некоторых случаях, ибо некоторые товарищи из фбр забывают сообщить о закрытии дела.

Но повторюсь, в ВК может быть все по-другому.

Ответить
4

Значит все удалённые пользователи чьи альбомы я видел были под следствием. Впрочем логично. Все пользователи вконтакта это предмет интереса ФСБ.

А ты кем вконтакте работаешь что тебе уже методичку скинули как на вопросы об этой новости отвечать?

Ответить
0

Даже не был у них никогда. Но пара бывших коллег теперь (с прошлого года вроде) там работает.

Ответить
0

С чего бы? ИМХО если страница удалена окончательно, надо убивать все связанные данные.

Ответить
0

НАДО, или хочется чтобы они так делали?

Если это не жесткое требование (а оно не жесткое) - то всегда проектировать будут систему с минимумом лишних операций.

Ответить
3

Да НАДО они так пишут в договоре пользовательском что удаляют все данные

Удаление персональной страницы Пользователя означает автоматическое удаление всей информации, размещенной на ней, а также всей информации Пользователя, введенной при регистрации на Сайте.

Удалить данные это не лишняя операция. Это защита пользовательских данных называется.

Ответить
0

Они же не говорят Когда. Автоматическое удаление через 10 лет. Тоже удаление.

Ответить
–1

Дед, твой домашний адрес уже все знают. Можешь поехать домой (нахуй) и продолжать выдавать желаемое за действительное.

Ответить
0

А можно ли доебаться до формулировки? Т.е. они удаляют информацию "размещенную на странице", а не на своих серверах

Ответить
0

Доебаться можно до чего угодно и до кого угодно

Ответить
4

Ничего не открывается

Ответить
4

Залогиниться надо

Ответить
4

Сами альбомы не открываются. Давай ссылки на фотки.

Ответить
12

сам факт того, что альбомы есть и ты видишь превью как бы намекает, что данные на серваке, просто забыли добавить проверку доступа при открытие /albumXXXX

Ответить
1

Я не спорю. Но хотелось бы вытянуть фотки из таких профилей. Для демонстрации полного фейла.

Ответить
1

сколько ей лет было?

Ответить
0

Ага, всё открылось, в вэб-версии. В приложении не открывается

Ответить
4

Щас тебя ФСБ сдеанонят по тому, кто заходил на страницу этой девки и закроют как коммуниста-экстремиста

Ответить
–1

А я не заходил ) Я багу эту знаю уже больше года и сейчас аккуратно создал новость ни разу не переходя по ссылкам

Ответить
4

тогда откуда ты можешь быть уверен, что ее не пофиксили?

Ответить
2

Ну теперь то уже могу открыть когда все посмотрели

Ответить
2

То есть ты постил неподтвержденную новость?

Ответить
0

Новости 41 минута, меньше 1000 просмотров.
Все равно тебя с деанонить дел на полчаса для товарища майора

Ответить
1

Комментарий удален по просьбе пользователя

Ответить
4

Когда «ВКонтакте» ещё не узнали об уязвимости

Чумаков, ВКонтакте не тёлка, не надо им вылизывать )
Не знали они блять, ага.

Ответить
3

а также заметили, что соцсеть убирала из правил пункт об удалении всей информации вместе с уничтожением профиля.

Поэтому удаление страниц не имеет смысла, в отличие от настроек приватности. Более того, из-за удаления легче потерять контроль над своими данными, сохранность которых не обязательно должна обеспечиваться после отказа от предоставления услуг.

Это может быть связано с законом Яровой: с 1 июля 2018 года соцсети и мессенджеры должны в течение шести месяцев хранить данные пользователей из России и предоставлять их по требованию спецслужб.

Не только. Вообще им выгодно как можно дольше хранить данные даже без учёта новых поправок.

И ТЖ, ну сколько можно, не было никакого закона Яровой, вы выражаетесь бытовым языком, что в таких статьях недопустимо. Если хотите кратко, но корректно, то можно сказать «поправки Яровой» или «пакет Яровой—Озерова». Так-то там было два законопроекта с множеством поправок в различные нормативные акты: в ФЗ «О противодействии терроризму», в 40-ФЗ «О ФСБ», в 144-ФЗ «Об оперативно-розыскной деятельности», в 5-ФЗ «О внешней разведке», наконец, в УК РФ и УПК РФ и т. д.

Ответить
1

уже ошибка доступа

Ответить
0

Тут Багосы нашли баг в вашей статье!

Ответить
2

А что третий профиль удалён? Ну напиши им что вопрос в том какого хуя вконтакт хранит данные с удалённых профилей. Ну и напиши что это уже прикрыли и теперь данные хранят но не светят. Суть статьи была именно в том что показать что вконтакт врёт и не удаляет данные пользователей

Ответить
0

Речь идёт об ошибке, которая затронула незначительное количество профилей. Всё уже исправлено

Открываем albums и до сих пор видим обложки альбомов азазаз

Ответить
0

По морде лица на обложке через сеарчфейс даже демотиваторы находятся. Не перестаю удивляться охуенности его работы.

Ответить
0

Какого хуя - закон Яровой

Ответить
0

Закон яровой это полгода или год, а они хранят всё и всегда, и даже не собираются удалять

Ответить
0

Ща дед пихто туда придет и наведет порядок

Ответить
0

Засекаем время, как быстро теперь прикроют её альбомы )

Ответить
2

только её альбомы...

Ответить
0

Только сейчас заметил, что у Деда ник в Твиттере "Дядя Пихто"

Ответить
1

93,6 кг

Ответить
0

Твиттер палит настоящие имена пользователей.

Ответить
0

Надо поменять ник в твиттере.

Ответить
0

Этому "багу" туева хуча лет

Ответить
1

Комментарий удален по просьбе пользователя

Ответить
0

Комментарий удален по просьбе пользователя

Ответить
0

Дед, ну ты как маленький

Ответить
0

К слову , про фотомодель сто лет ни слова..хотя казалось бы

Ответить
0

Почему ни слова, вот про квартиры подаренные немцовым рассказывает

Ответить
0

Все, "пофиксили", теперь выдает "Неизвестная ошибка"
Надо было скрин сделать

Ответить
0

ВК - дырявый как сыр

Ответить
0

А Инстаграм сториз не удаляет через 24 часа. На серваках они хранятся и после удаления

Ответить
Обсуждаемое
Новости
Esquire выпустил номер о поколении Z, созданный только 20-летними
Для этого журнал сформировал временную редакцию из практикантов.
Новости
Фото: Торжественное открытие школьного сквера с поролоновыми русалками и тканевым прудом в Сахалинской области
Это обошлось бюджету региона в 500 тысяч рублей.
Новости
Илон Маск выступил на краснодарском форуме по видеосвязи
Он заявил, что «когда-нибудь в будущем» может открыть в России производство Tesla.
Популярное за три дня
Новости
«Медуза» нашла спонсора, из-за которого ФБК признали «иностранным агентом». Он не смог объяснить причину перевода
Кикбоксёр из Испании Роберто Монда не ответил на вопрос, как нашёл реквизиты, не зная русского языка.
Истории
«Мы вкладываем душу в детей»: монолог воспитателя детского сада в небольшом российском городе
В чем отличия современных детей от миллениалов, насколько низкой может быть зарплата и почему героиня ещё не уволилась.
Интернет и мемы
Penmanship Porn: коллекция видео с каллиграфией, приносящей эстетическое удовольствие
Пользователи Reddit уже семь лет записывают демонстрации своего красивого почерка, приравнивая ощущения от просмотра к «порно».

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "i", "ps": "cndo", "p2": "fizc" } } }, { "id": 4, "label": "Article Branding", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "cfovy", "p2": "glug" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfk" } } }, { "id": 6, "disable": true, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "clmf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byswn", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "cndo", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223677-0", "render_to": "inpage_VI-223677-0-130073047", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=cndo&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Баннер в ленте на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudv", "p2": "ftjf" } } }, { "id": 16, "label": "Кнопка в шапке мобайл", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "ccydt", "p2": "ftwx" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fzvc" } } }, { "id": 20, "label": "Кнопка в сайдбаре", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "chfbk", "p2": "gnwc" } } } ]