Get best of the week

"Kebocoran" dari basis spesialis Habr Karir

Pertama, di saluran telegram, dan kemudian di Habré , informasi muncul pada data pengguna yang bocor dari situs Karir Habr. Kami menganggap perlu untuk memberikan komentar yang lebih rinci, serta berbicara tentang bagaimana pengaturan privasi pada layanan ini diatur.

TL; DR
,

Kebocoran

Segera dosis obat penenang: kami tidak menemukan jejak penetrasi ke dalam basis data layanan. 

Lalu apa yang terjadi? Dalam kasus apapun tidak ingin mentransfer kesalahan pada pengguna sendiri, tetapi informasi yang muncul dalam "kebocoran" masih tersedia di jaringan. Hanya seseorang yang memutuskan untuk mengumpulkannya dan dari sisi situs itu sangat sulit untuk ditolak.

Oleh karena itu, kami memutuskan untuk memberi tahu pengguna kami saat ini dan di masa depan bagaimana privasi diatur di Haber Career. Jadi, pertama-tama, jelas bagi semua orang tentang penguraian informasi seperti apa yang dimaksud. Dan kedua, sehingga, mengetahui hal ini, semua orang lebih sadar mengontrol privasi mereka di jaringan.

Bagaimana cara kerja privasi di Habr Career?


Ada dua pengaturan privasi utama pada layanan: untuk seluruh profil secara keseluruhan dan untuk informasi kontak. 

Pengguna dapat memilih kepada siapa akan ditampilkan profilnya:

  • Semua orang, termasuk tamu dan robot (nilai default saat pendaftaran)
  • Hanya pengguna yang diotorisasi
  • Teman dan kurator lowongan dengan tanggapan saya
  • Jangan perlihatkan siapa pun

Kontak pengguna adalah bagian dari profilnya, dan ada pengaturan privasi tambahan untuk mereka. Pengguna dapat memilih kepada siapa untuk menampilkan informasi kontak mereka:

  • Hanya pengguna yang diotorisasi
  • Kepada teman dan kurator lowongan dengan respons saya (nilai default saat pendaftaran)
  • Jangan perlihatkan siapa pun

Untuk mengatur privasi kontak, kami dengan sengaja menghapus pengaturan "Semua orang, termasuk tamu dan robot" sehingga informasi kontak tidak akan diindeks oleh mesin pencari. Lagi pula, jika yang terakhir terjadi, maka pengguna tidak dapat dengan cepat menghapus informasi kontaknya dari jaringan. Dia menyembunyikan mereka di Karir, tetapi mereka masih tetap untuk beberapa waktu di indeks mesin pencari.

Selain itu, pengguna tidak dapat menempatkan informasi kontak dengan kondisi privasi yang lebih lunak daripada yang dia lakukan untuk profilnya secara keseluruhan. Misalnya, jika profil memiliki privasi "Teman dan Kurator", maka kontak tidak dapat lagi diatur ke "Hanya diotorisasi".


Pengguna melihat pengaturan privasi apa dari profil dan kontak yang mereka miliki di kolom kiri pada profil utamanya. Teks dengan deskripsi setiap pengaturan dapat diklik - tautan mengirim pengguna ke halaman tempat Anda dapat mengubah pengaturan yang sesuai.


Saat ini, kami memiliki statistik berikut tentang privasi pengguna: Privasi

profil:

  • 90% terlihat oleh semua orang (nilai default saat pendaftaran)
  • 6% terlihat resmi
  • 1% dapat dilihat oleh teman dan kurator lowongan dengan tanggapan
  • 3% disembunyikan dari semua orang

Kontak Privasi:

  • 25% terlihat resmi
  • 75% dapat dilihat oleh teman dan kurator lowongan dengan tanggapan (nilai default saat pendaftaran)
  • <1% disembunyikan dari semua orang

Seperti yang Anda lihat, 10% pengguna lebih suka setelah registrasi untuk memilih pengaturan privasi yang lebih ketat untuk profil mereka secara umum, dan 25% memilih pengaturan privasi yang lebih lunak untuk detail kontak mereka.

Dengan demikian, setiap pengguna yang masuk ke situs dapat melihat (dan menyimpan) profil dari hampir semua pengguna dan informasi kontak dari seperempat pengguna. Yang sebenarnya terjadi.

Apa yang ada di arsip


Kami tidak mendapatkan konten arsip yang diposting di salah satu forum. Tetapi dilihat dari informasi yang menyertainya, itu hanya berisi informasi yang tersedia di profil pengguna untuk pengguna layanan terdaftar lainnya. Kami memiliki API pribadi untuk bekerja dengan lowongan dan tanggapan kami di situs pihak ketiga, tetapi data dari arsip yang diposkan bukan dari API ini - bot hanya berjalan melewati halaman, mem-parsingnya, dan meletakkannya dalam file. Dilihat dari jumlah catatan, basis data ini telah dikompilasi dari waktu ke waktu (agar tidak menarik perhatian).

Contoh spesifik:


Dan ini adalah profil di situs ini:


Apa yang akan kita lakukan


Awalnya, jelas bahwa melindungi diri Anda dari penguraian secara teknis sangat sulit (dan kadang-kadang tidak praktis). Artikel tentang Habr hanya mengkonfirmasi :


Meskipun demikian, kami masih berkonsultasi dengan beberapa orang yang melakukan ini bukan sebagai hobi, tetapi pada skala industri. Pepatahmakasin4ikdari xmldatafeed.com mengatakan bahwa sekarang semuanya dan semua sudah diuraikan, tetapi bersama-sama kami menemukan beberapa nuansa yang akan diselesaikan. Inilah beberapa di antaranya:

  • Batasi jumlah permintaan oleh pengguna yang diotorisasi. Pada HH.ru yang sama, batas tersebut sekarang berjumlah 500 profil per hari, dengan kami itu akan lebih sedikit.
  • Saran dari kategori "Anda Tidak Bisa Menang - Memimpin": menyediakan API berbayar untuk penguraian basis data hukum. 
  • Selain itu, secara teratur menginformasikan para pengguna yang telah mengindikasikan banyak informasi kontak publik tentang diri mereka sendiri.


Saya benar-benar tidak ingin layanan kami terkena ancaman teknis nyata, jadi kami juga berencana untuk meluncurkan program karunia segera. Sementara itu, jika Anda menemukan kerentanan, beri tahu kami di formulir umpan balik - kami akan menemukan bahasa yang sama dan memperbaiki semuanya. 

Terimakasih atas perhatiannya!

More articles:


All Articles