- PVSM.RU - https://www.pvsm.ru -
Сначала в телеграм-каналах, а потом и на Хабре появилась информация [1] об утекших данных пользователей с сайта Хабр Карьеры. Считаем нужным дать более развёрнутый комментарий, а также рассказать о том, как устроены настройки приватности на сервисе.
Утечка
Сразу доза успокоительного: каких-либо следов проникновений в базу данных сервиса мы не обнаружили.
Что же тогда произошло? Ни в коем случае не хочется переваливать вину на самих пользователей, но всё же оказавшаяся в «утечке» информация ещё до этого была доступна в сети. Просто кто-то решил её собрать и со стороны сайта этому очень непросто противостоять.
Поэтому мы решили проинформировать наших текущих и будущих пользователей, как на Хабр Карьере устроена приватность. Чтобы, во-первых, всем было понятно, о парсинге какой именно информации идёт речь. А, во-вторых, чтобы зная это, каждый более сознательно управлял своей приватностью в сети.
На сервисе есть две основные настройки приватности: для всего профиля в целом и для контактной информации.
Пользователь может выбрать, кому показывать свой профиль:
Контакты пользователя — часть его профиля, и для них есть дополнительные настройки приватности. Пользователь может выбрать, кому показывать свою контактную информацию:
Для настройки приватности контактов мы в своё время намеренно убрали настройку «Всем, в том числе гостям и роботам», чтобы контактная информация не индексировалась поисковиками. Ведь если последнее происходит, то пользователь не может быстро убрать свои контактные данные из сети. Он их скрывает на Карьере, но они всё равно ещё довольно долго остаются висеть в индексах поисковиков.
Также пользователь не может поставить контактной информации более мягкие условия приватности, чем он это сделал для своего профиля в целом. Например, если у профиля стоит приватность «Друзьям и кураторам», то у контактов уже нельзя поставить настройку «Только авторизованным».
Пользователь видит, какие настройки приватности профиля и контактов у него стоят, в левой колонке на главной своего профиля. Текст с описанием каждой настройки кликабельный — ссылка отправляет пользователя на страницу, где можно поменять соответствующую настройку.
На текущий момент у нас следующая статистика по приватности пользователей:
Приватность профилей:
Приватность контактов:
Как видно, 10% пользователей предпочитают после регистрации выбирать более жёсткие настройки приватности своих профилей в целом, а 25% — более мягкие настройки приватности своих контактных данных.
Таким образом, любой пользователь, залогинившийся на сайте, может просматривать (и сохранять) профили почти всех пользователей и контактную информацию четверти пользователей. Что, собственно, и произошло.
До содержимого архива, выложенного на одном из форумов, мы так и не добрались. Но судя по предоставленной сопроводительной информации — там представлена как раз информация, доступная в профилях пользователей другим зарегистрированным пользователям сервиса. У нас есть закрытый API [2] для работы со своими вакансиями и откликами на сторонних площадках, но данные из выложенного архива не из этого API — просто бот ходил по страницам, парсил их и складывал в файлик. Судя по числу записей эта база собиралась в течение долгого времени (чтобы не привлекать внимания).
Конкретный пример:
И вот эта анкета на сайте:
Изначально было понятно, что защититься от парсинга технически очень сложно (а порой — просто нецелесообразно). Статьи на Хабре это только подтверждали [3]:
Тем не менее мы всё же проконсультировались с несколькими людьми, которые занимаются этим не в качестве хобби, а в промышленных масштабах. Максим makasin4ik [4] из xmldatafeed.com рассказал, что сейчас парсят всё и вся, но вместе мы придумали несколько нюансов, которые будут доработаны. Вот некоторые из них:
Спасибо за внимание!
Автор: Алексей
Источник [5]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/news/352581
Ссылки в тексте:
[1] появилась информация: https://habr.com/ru/news/t/499590/
[2] У нас есть закрытый API: https://career.habr.com/info/api
[3] подтверждали: https://habr.com/ru/post/446488/
[4] makasin4ik: https://habr.com/ru/users/makasin4ik/
[5] Источник: https://habr.com/ru/post/499740/?utm_source=habrahabr&utm_medium=rss&utm_campaign=499740
Нажмите здесь для печати.