Get best of the week

"Fuite" d'une base de spécialistes Habr Carrières

Tout d'abord, dans les chaînes de télégrammes, puis sur Habré , des informations sont apparues sur les données utilisateur divulguées du site Habr Career. Nous considérons qu'il est nécessaire de donner un commentaire plus détaillé, ainsi que de parler de la façon dont les paramètres de confidentialité du service sont organisés.

TL; DR
,

Une fuite

Immédiatement une dose sédative: nous n'avons trouvé aucune trace de pénétration dans la base de données des services. 

Que s'est-il passé ensuite? En aucun cas je ne veux transférer le blâme sur les utilisateurs eux-mêmes, mais néanmoins les informations qui figuraient dans la «fuite» étaient toujours disponibles sur le réseau. Juste quelqu'un a décidé de le récupérer et du côté du site, il est très difficile de résister.

Par conséquent, nous avons décidé d'informer nos utilisateurs actuels et futurs de la façon dont la vie privée est organisée chez Haber Career. Ainsi, tout d'abord, il était clair pour tout le monde de l'analyse du type d'informations en question. Et deuxièmement, afin que, sachant cela, chacun contrôle plus consciemment sa vie privée sur le réseau.

Comment fonctionne la confidentialité chez Habr Career?


Il existe deux principaux paramètres de confidentialité sur le service: pour l'ensemble du profil dans son ensemble et pour les informations de contact. 

L'utilisateur peut choisir à qui afficher son profil:

  • Tout le monde, y compris les invités et les robots (la valeur par défaut lors de l'inscription)
  • Uniquement les utilisateurs autorisés
  • Amis et conservateurs de postes vacants avec ma réponse
  • Ne montrer à personne

Les contacts de l'utilisateur font partie de son profil et il existe des paramètres de confidentialité supplémentaires pour eux. L'utilisateur peut choisir à qui montrer ses coordonnées:

  • Uniquement les utilisateurs autorisés
  • Aux amis et curateurs de postes vacants avec ma réponse (la valeur par défaut lors de l'inscription)
  • Ne montrer à personne

Pour définir la confidentialité des contacts, nous avons délibérément supprimé le paramètre «Tout le monde, y compris les invités et les robots» afin que les informations de contact ne soient pas indexées par les moteurs de recherche. Après tout, si ce dernier se produit, l'utilisateur ne peut pas supprimer rapidement ses informations de contact du réseau. Il les cache dans la carrière, mais ils restent encore un certain temps dans les index des moteurs de recherche.

De plus, l'utilisateur ne peut pas mettre les informations de contact des conditions de confidentialité plus clémentes que pour son profil dans son ensemble. Par exemple, si le profil a la confidentialité de «Amis et conservateurs», les contacts ne peuvent plus être définis sur «Autorisé uniquement».


L'utilisateur voit quels paramètres de confidentialité du profil et des contacts qu'il a dans la colonne de gauche de son profil principal. Le texte avec une description de chaque paramètre est cliquable - le lien envoie l'utilisateur vers une page où vous pouvez modifier le paramètre correspondant.


Actuellement, nous avons les statistiques suivantes sur la confidentialité des utilisateurs: Confidentialité du

profil:

  • 90% visible par tous (valeur par défaut lors de l'inscription)
  • 6% sont visibles autorisés
  • 1% sont visibles par les amis et les conservateurs de postes vacants avec une réponse
  • 3% sont cachés à tout le monde

Contact confidentialité:

  • 25% sont visibles autorisés
  • 75% sont visibles par les amis et les conservateurs de postes vacants avec une réponse (la valeur par défaut lors de l'inscription)
  • <1% caché à tout le monde

Comme vous pouvez le voir, 10% des utilisateurs préfèrent après l'enregistrement choisir des paramètres de confidentialité plus stricts pour leurs profils en général, et 25% préfèrent des paramètres de confidentialité plus doux pour leurs coordonnées.

Ainsi, tout utilisateur connecté au site peut visualiser (et enregistrer) les profils de presque tous les utilisateurs et les coordonnées d'un quart des utilisateurs. Ce qui, en fait, s'est produit.

Que contient l'archive


Nous n'avons pas pu accéder au contenu des archives publiées sur l'un des forums. Mais à en juger par les informations d'accompagnement fournies, il ne contient que les informations disponibles dans les profils d'utilisateurs pour les autres utilisateurs enregistrés du service. Nous avons une API privée pour travailler avec nos offres d'emploi et nos réponses sur des sites tiers, mais les données des archives publiées ne proviennent pas de cette API - le bot vient de parcourir les pages, de les analyser et de les mettre dans un fichier. A en juger par le nombre d'enregistrements, cette base de données a été constituée au fil du temps (afin de ne pas attirer l'attention).

Exemple spécifique:


Et voici ce profil sur le site:


Qu'allons nous faire


Au départ, il était clair que se protéger de l'analyse est techniquement très difficile (et parfois ce n'est tout simplement pas pratique). Les articles sur Habr l'ont seulement confirmé :


Néanmoins, nous avons encore consulté plusieurs personnes qui ne le font pas comme un passe-temps, mais à l'échelle industrielle. Maximemakasin4ikde xmldatafeed.com a déclaré que maintenant tout et tout est analysé, mais ensemble, nous avons trouvé plusieurs nuances qui seront finalisées. En voici quelques uns:

  • Limite du nombre de demandes d'un utilisateur autorisé. Sur le même HH.ru, une telle limite s'élève désormais à 500 profils par jour, chez nous ce sera moins.
  • Conseils de la catégorie «You Can't Win - Lead»: fournir une API payante pour l'analyse syntaxique des bases de données. 
  • De plus, informez régulièrement les utilisateurs qui ont indiqué beaucoup d'informations de contact public à leur sujet.


Je ne voudrais vraiment pas que nos services soient exposés à de réelles menaces techniques, nous prévoyons également de lancer prochainement un programme de primes. En attendant, si vous trouvez une vulnérabilité, faites-le nous savoir dans le formulaire de commentaires - nous trouverons un langage commun et corrigerons tout. 

Merci pour l'attention!

More articles:


All Articles