Get best of the week

"Fuga" de una base de especialistas Habr Careers

Primero, en los canales de telegramas, y luego en Habré , apareció información sobre los datos de usuarios filtrados del sitio Habr Career. Consideramos necesario dar un comentario más detallado, así como hablar sobre cómo se organizan las configuraciones de privacidad en el servicio.

TL; DR
,

Una fuga

Inmediatamente una dosis sedante: no encontramos ningún rastro de penetración en la base de datos del servicio. 

¿Qué pasó entonces? En ningún caso, no quiero transferir la culpa a los propios usuarios, sin embargo, la información que apareció en la "fuga" todavía estaba disponible en la red. Simplemente alguien decidió recogerlo y desde el lado del sitio es muy difícil resistirse.

Por lo tanto, decidimos informar a nuestros usuarios actuales y futuros cómo se organiza la privacidad en Haber Career. De modo que, en primer lugar, estaba claro para todos sobre el análisis de qué tipo de información en cuestión. Y en segundo lugar, para que, sabiendo esto, todos controlen más conscientemente su privacidad en la red.

¿Cómo funciona la privacidad en Habr Career?


Hay dos configuraciones principales de privacidad en el servicio: para todo el perfil en su conjunto y para la información de contacto. 

El usuario puede elegir a quién mostrar su perfil:

  • Todos, incluidos los invitados y los robots (el valor predeterminado durante el registro)
  • Solo usuarios autorizados
  • Amigos y curadores de vacantes con mi respuesta.
  • No mostrar a nadie

Los contactos del usuario son parte de su perfil, y hay configuraciones de privacidad adicionales para ellos. El usuario puede elegir a quién mostrar su información de contacto:

  • Solo usuarios autorizados
  • A mis amigos y curadores de vacantes con mi respuesta (el valor predeterminado durante el registro)
  • No mostrar a nadie

Para establecer la privacidad de los contactos, eliminamos deliberadamente la configuración "Todos, incluidos los invitados y los robots" para que los motores de búsqueda no indexen la información de contacto. Después de todo, si esto sucede, el usuario no puede eliminar rápidamente su información de contacto de la red. Los oculta en la carrera, pero aún permanecen durante bastante tiempo en los índices de los motores de búsqueda.

Además, el usuario no puede poner la información de contacto en condiciones de privacidad más indulgentes que para su perfil en su conjunto. Por ejemplo, si el perfil tiene la privacidad de "Amigos y curadores", entonces los contactos ya no se pueden configurar en "Solo autorizado".


El usuario ve qué configuraciones de privacidad del perfil y contactos tiene en la columna izquierda de su perfil principal. Se puede hacer clic en el texto con una descripción de cada configuración: el enlace envía al usuario a una página donde puede cambiar la configuración correspondiente.


Actualmente, tenemos las siguientes estadísticas sobre la privacidad del usuario: Privacidad del

perfil:

  • 90% visible para todos (valor predeterminado durante el registro)
  • 6% son visibles autorizados
  • 1% son visibles para amigos y curadores de vacantes con una respuesta
  • 3% están ocultos para todos

Privacidad de contacto:

  • 25% son visibles autorizados
  • El 75% son visibles para amigos y curadores de vacantes con una respuesta (el valor predeterminado durante el registro)
  • <1% oculto para todos

Como puede ver, el 10% de los usuarios prefiere después del registro elegir configuraciones de privacidad más estrictas para sus perfiles en general, y el 25% prefiere configuraciones de privacidad más suaves para sus datos de contacto.

Por lo tanto, cualquier usuario que haya iniciado sesión en el sitio puede ver (y guardar) los perfiles de casi todos los usuarios y la información de contacto de una cuarta parte de los usuarios. Lo que, de hecho, sucedió.

Que hay en el archivo


No llegamos al contenido del archivo publicado en uno de los foros. Pero a juzgar por la información adjunta proporcionada, contiene solo la información disponible en los perfiles de usuario para otros usuarios registrados del servicio. Tenemos una API privada para trabajar con nuestras vacantes y respuestas en sitios de terceros, pero los datos del archivo publicado no son de esta API: el bot simplemente recorrió las páginas, las analizó y las puso en un archivo. A juzgar por el número de registros, esta base de datos se ha compilado con el tiempo (para no llamar la atención).

Ejemplo específico:


Y aquí está este perfil en el sitio:


Que haremos


Inicialmente, estaba claro que protegerse del análisis es técnicamente muy difícil (y a veces simplemente no es práctico). Los artículos sobre Habr solo lo confirmaron :


Sin embargo, seguimos consultando con varias personas que hacen esto no como un pasatiempo, sino a escala industrial. Máximamakasin4ikde xmldatafeed.com dijo que ahora todo y todo está analizado, pero juntos se nos ocurrieron varios matices que se finalizarán. Éstos son algunos de ellos:

  • Límite en el número de solicitudes de un usuario autorizado. En el mismo HH.ru, ese límite ahora asciende a 500 perfiles por día, lo tendremos menos.
  • Asesoramiento de la categoría "No se puede ganar: líder": proporcionar una API paga para el análisis de bases de datos legales. 
  • Además, informa regularmente a los usuarios que han indicado mucha información pública de contacto sobre ellos mismos.


Realmente no quisiera que nuestros servicios estuvieran expuestos a amenazas técnicas reales, por lo que también estamos planeando lanzar un programa de recompensas pronto. Mientras tanto, si encuentra una vulnerabilidad, infórmenos en el formulario de comentarios: encontraremos un lenguaje común y solucionaremos todo. 

¡Gracias por la atención!

More articles:


All Articles