Get best of the week

"Leck" einer Basis von Spezialisten Habr Careers

Zuerst wurden in Telegrammkanälen und dann auf Habré Informationen zu durchgesickerten Benutzerdaten von der Habr Career-Website angezeigt. Wir halten es für notwendig, einen detaillierteren Kommentar abzugeben und darüber zu sprechen, wie die Datenschutzeinstellungen für den Dienst angeordnet sind.

TL; DR
,

Ein Leck

Sofort eine Beruhigungsdosis: Wir haben keine Spuren einer Penetration in die Servicedatenbank gefunden. 

Was ist dann passiert? Auf keinen Fall wollen Sie die Schuld nicht auf die Benutzer selbst übertragen, aber dennoch waren die Informationen, die im "Leck" erschienen, noch im Netzwerk verfügbar. Nur jemand hat beschlossen, es zu sammeln, und von der Seite der Website ist es sehr schwer zu widerstehen.

Aus diesem Grund haben wir uns entschlossen, unsere aktuellen und zukünftigen Benutzer darüber zu informieren, wie der Datenschutz bei Haber Career geregelt ist. Damit war zunächst allen klar, welche Art von Informationen analysiert wurden. Und zweitens, damit jeder, der dies weiß, seine Privatsphäre im Netzwerk bewusster kontrolliert.

Wie funktioniert Datenschutz bei Habr Career?


Es gibt zwei wichtige Datenschutzeinstellungen für den Dienst: für das gesamte Profil und für Kontaktinformationen. 

Der Benutzer kann auswählen, wem sein Profil angezeigt werden soll:

  • Alle, einschließlich Gäste und Roboter (der Standardwert bei der Registrierung)
  • Nur autorisierte Benutzer
  • Freunde und Kuratoren von Stellenangeboten mit meiner Antwort
  • Zeig es niemandem

Die Kontakte des Benutzers sind Teil seines Profils und es gibt zusätzliche Datenschutzeinstellungen für sie. Der Benutzer kann auswählen, wem seine Kontaktinformationen angezeigt werden sollen:

  • Nur autorisierte Benutzer
  • An Freunde und Kuratoren von Stellenangeboten mit meiner Antwort (der Standardwert bei der Registrierung)
  • Zeig es niemandem

Um die Privatsphäre von Kontakten festzulegen, haben wir die Einstellung "Jeder, einschließlich Gäste und Roboter" absichtlich entfernt, damit Kontaktinformationen nicht von Suchmaschinen indiziert werden. Wenn letzteres passiert, kann der Benutzer seine Kontaktinformationen nicht schnell aus dem Netzwerk entfernen. Er versteckt sie in der Karriere, aber sie bleiben noch einige Zeit in den Suchmaschinenindizes.

Außerdem kann der Benutzer keine milderen Datenschutzbedingungen für Kontaktinformationen festlegen als für sein gesamtes Profil. Wenn das Profil beispielsweise die Privatsphäre von "Freunden und Kuratoren" hat, können die Kontakte nicht mehr auf "Nur autorisiert" gesetzt werden.


Der Benutzer sieht in der linken Spalte seines Hauptprofils, welche Datenschutzeinstellungen des Profils und der Kontakte er hat. Der Text mit einer Beschreibung jeder Einstellung ist anklickbar - der Link sendet den Benutzer zu einer Seite, auf der Sie die entsprechende Einstellung ändern können.


Derzeit liegen uns folgende Statistiken zum Datenschutz der Benutzer vor: Datenschutz des

Profils:

  • 90% für alle sichtbar (Standardwert bei der Registrierung)
  • 6% sind sichtbar autorisiert
  • 1% sind für Freunde und Kuratoren von Stellenangeboten mit einer Antwort sichtbar
  • 3% sind vor allen verborgen

Kontakt Datenschutz:

  • 25% sind sichtbar autorisiert
  • 75% sind für Freunde und Kuratoren von Stellenangeboten mit einer Antwort sichtbar (der Standardwert bei der Registrierung).
  • <1% vor allen versteckt

Wie Sie sehen, bevorzugen 10% der Benutzer nach der Registrierung strengere Datenschutzeinstellungen für ihre Profile im Allgemeinen, und 25% bevorzugen weichere Datenschutzeinstellungen für ihre Kontaktdaten.

Somit kann jeder auf der Site angemeldete Benutzer die Profile fast aller Benutzer und die Kontaktinformationen eines Viertels der Benutzer anzeigen (und speichern). Was tatsächlich passiert ist.

Was ist im Archiv?


Wir sind nicht zum Inhalt des Archivs gelangt, das in einem der Foren veröffentlicht wurde. Nach den bereitgestellten Informationen zu urteilen, enthält es jedoch nur die Informationen, die anderen registrierten Benutzern des Dienstes in Benutzerprofilen zur Verfügung stehen. Wir haben eine geschlossene API für die Bearbeitung unserer Stellenangebote und Antworten auf Websites von Drittanbietern, aber die Daten aus dem veröffentlichten Archiv stammen nicht aus dieser API. Der Bot ging einfach durch die Seiten, analysierte sie und legte sie in eine Datei. Gemessen an der Anzahl der Datensätze wurde diese Datenbank im Laufe der Zeit zusammengestellt (um nicht aufzufallen).

Spezifisches Beispiel:


Und hier ist dieses Profil auf der Website:


Was werden wir tun


Anfangs war klar, dass es technisch sehr schwierig ist, sich vor dem Parsen zu schützen (und manchmal ist es einfach nicht praktikabel). Artikel über Habr haben es nur bestätigt :


Trotzdem haben wir uns mit mehreren Personen beraten, die dies nicht als Hobby, sondern im industriellen Maßstab tun. Maximemakasin4ikvon xmldatafeed.com sagte, dass jetzt alles und jedes analysiert wird, aber zusammen haben wir uns einige Nuancen ausgedacht, die finalisiert werden. Hier sind einige davon:

  • Begrenzen Sie die Anzahl der Anfragen eines autorisierten Benutzers. Auf der gleichen HH.ru beträgt ein solches Limit jetzt 500 Profile pro Tag, bei uns wird es weniger sein.
  • Ratschläge aus der Kategorie „Sie können nicht gewinnen - führen“: Bereitstellung einer kostenpflichtigen API für das Parsen legaler Datenbanken. 
  • Informieren Sie außerdem regelmäßig diejenigen Benutzer, die viele öffentliche Kontaktinformationen über sich angegeben haben.


Ich möchte wirklich nicht, dass unsere Dienste echten technischen Bedrohungen ausgesetzt sind, daher planen wir auch, bald ein Kopfgeldprogramm zu starten. Wenn Sie in der Zwischenzeit eine Sicherheitslücke finden, teilen Sie uns dies im Feedback-Formular mit. Wir werden eine gemeinsame Sprache finden und alles beheben. 

Vielen Dank für Ihre Aufmerksamkeit!

More articles:


All Articles