Get best of the week

"Vazamento" de uma base de especialistas Habr Carreiras

Primeiro, nos canais de telegrama, e depois em Habré , as informações apareciam nos dados de usuários vazados do site da Habr Career. Consideramos necessário fazer um comentário mais detalhado, além de conversar sobre como as configurações de privacidade do serviço são organizadas.

TL; DR
,

Um vazamento

Imediatamente uma dose de sedativo: não encontramos nenhum vestígio de penetração no banco de dados do serviço. 

O que aconteceu então? Em nenhum caso, não queremos transferir a culpa para os próprios usuários, mas, no entanto, as informações que apareceram no "vazamento" ainda estavam disponíveis na rede. Apenas alguém decidiu coletá-lo e do lado do site é muito difícil resistir.

Portanto, decidimos informar nossos usuários atuais e futuros como a privacidade é organizada na Haber Career. De modo que, em primeiro lugar, ficou claro para todos sobre a análise de que tipo de informação em questão. E segundo, para que, sabendo disso, todos controlem mais conscientemente sua privacidade na rede.

Como a privacidade funciona na Habr Career?


Existem duas configurações principais de privacidade no serviço: para todo o perfil como um todo e para informações de contato. 

O usuário pode escolher a quem mostrar seu perfil:

  • Todos, incluindo convidados e robôs (o valor padrão durante o registro)
  • Somente usuários autorizados
  • Amigos e curadores de vagas com a minha resposta
  • Não mostrar a ninguém

Os contatos do usuário fazem parte do perfil dele e há configurações de privacidade adicionais para eles. O usuário pode escolher a quem mostrar suas informações de contato:

  • Somente usuários autorizados
  • Aos amigos e curadores de vagas com minha resposta (o valor padrão durante o registro)
  • Não mostrar a ninguém

Para definir a privacidade dos contatos, removemos deliberadamente a configuração "Todos, incluindo convidados e robôs", para que as informações de contato não fossem indexadas pelos mecanismos de pesquisa. Afinal, se o último acontecer, o usuário não poderá remover rapidamente suas informações de contato da rede. Ele os esconde na Carreira, mas eles ainda permanecem por algum tempo nos índices dos mecanismos de pesquisa.

Além disso, o usuário não pode colocar as informações de contato em condições de privacidade mais brandas do que no seu perfil como um todo. Por exemplo, se o perfil tiver a privacidade de "Amigos e curadores", os contatos não poderão mais ser definidos como "Somente autorizado".


O usuário vê quais configurações de privacidade do perfil e contatos eles têm na coluna esquerda em seu perfil principal. O texto com uma descrição de cada configuração é clicável - o link envia o usuário para uma página onde você pode alterar a configuração correspondente.


Atualmente, temos as seguintes estatísticas sobre privacidade do usuário: Privacidade do

perfil:

  • 90% visível para todos (valor padrão durante o registro)
  • 6% são visíveis autorizados
  • 1% são visíveis para amigos e curadores de vagas com uma resposta
  • 3% estão escondidos de todos

Privacidade de Contato:

  • 25% são visíveis autorizados
  • 75% são visíveis para amigos e curadores de vagas com uma resposta (o valor padrão durante o registro)
  • <1% escondido de todos

Como você pode ver, 10% dos usuários preferem, após o registro, escolher configurações de privacidade mais rigorosas para seus perfis em geral, e 25% preferem configurações de privacidade mais brandas para seus detalhes de contato.

Assim, qualquer usuário conectado ao site pode visualizar (e salvar) os perfis de quase todos os usuários e as informações de contato de um quarto dos usuários. O que, de fato, aconteceu.

O que há no arquivo


Não chegamos ao conteúdo do arquivo publicado em um dos fóruns. Mas, a julgar pelas informações fornecidas, ele contém apenas as informações disponíveis nos perfis de usuário para outros usuários registrados do serviço. Temos uma API fechada para trabalhar com nossas vagas e respostas em sites de terceiros, mas os dados do arquivo publicado não são dessa API - o bot apenas percorreu as páginas, as analisou e as colocou em um arquivo. A julgar pelo número de registros, esse banco de dados foi compilado ao longo do tempo (para não atrair atenção).

Exemplo específico:


E aqui está este perfil no site:


O que faremos


Inicialmente, ficou claro que se proteger da análise é tecnicamente muito difícil (e às vezes simplesmente não é prático). Os artigos sobre Habr apenas confirmaram :


Ainda assim, ainda consultamos várias pessoas que fazem isso não como um hobby, mas em escala industrial. Máximamakasin4ikdo xmldatafeed.com disse que agora tudo e tudo são analisados, mas juntos criamos várias nuances que serão finalizadas. Aqui estão alguns deles:

  • Limite no número de solicitações de um usuário autorizado. No mesmo HH.ru, esse limite agora é de 500 perfis por dia; conosco, será menor.
  • Conselho da categoria "Você não pode vencer - liderar": fornecendo uma API paga para análise de banco de dados legal. 
  • Além disso, informe regularmente os usuários que indicaram muitas informações de contato público sobre si mesmos.


Eu realmente não gostaria que nossos serviços fossem expostos a ameaças técnicas reais, por isso também planejamos lançar um programa de recompensas em breve. Enquanto isso, se você encontrar uma vulnerabilidade, informe-nos no formulário de feedback - encontraremos um idioma comum e corrigiremos tudo. 

Obrigado pela atenção!

More articles:


All Articles