Друзья!
Вчера на портале вылилось большое количество лжи от пользователя Вежливый Снайпер, многие на которую повелись. В результате этой лжи часть пользователей с недоверием начали относиться к порталу.
Для того, чтобы не играть в глухие телефончики, а объяснить всю ситуацию целиком, считаем необходимым сообщить ее суть всем остальным пользователям.
Вчера в районе 12 часов дня пользователь «Вежливый Снайпер» начал публиковать информацию о том, что при входе на страницу Личных сообщений (далее ЛС) он получил доступ к сообщениям других пользователей без применения стороннего ПО или запрещенных скриптов, используя интерфейс, предоставленный администрацией. Изначально у него было доступ только к личке пользователя HelenSN, о чем он сообщил мне сам и еще несколько пользователей. Но позже тема начала развиваться в направлении того, что это баг портала и ЛС неконфидециальны — ему стали видимы все личные сообщения. В подтверждение этому он приложил вот такой вот скриншот:
На нем все размыто и абсолютно нечитаемо. При этом параллельно я от лица администрации портала вел переписку с этим пользователем и пытался понять в чем проблема и как он получил такой результат. Никаких данных или нормального читаемого скриншота, которые прояснил бы как пользователю попала такая выборка, он не предоставил, хотя запросы с нашей стороны были.
Далее пользователь начал недвусмысленно намекать на то, чьи сообщения читал — о содержании переписки. У нас есть как минимум 4 таких примера. Мне начали поступать большое количество звонков, телефоны модераторов тоже начали перегружаться. Все пользователи, находившиеся в онлайне, начали массово удалять все свои сообщения и личные данные из профиля, боясь за конфедициальность информации.
Я находясь на рабочем месте в сторонней организации вынужден был взять отгул для разбирательств в столь масштабной проблеме (дыре). Непосредственно перед этим мы заблокировали пользователя «Вежливый Снайпер» за разглашение конфидициенальных данных третьих пользователей, а именно:
5.3.5. незаконно загружать, хранить, публиковать, распространять и предоставлять доступ или иным образом использовать интеллектуальную собственность Пользователей и третьих лиц;
5.3.11. осуществлять незаконные сбор и обработку персональных данных других лиц;
Дополнительно для проведения работ - нужно было воссоздать точно такую же ситуацию, как у него, чтобы понять в чем проблема, а блокировка была гарантом того, что пользователь ничего нового не натворит и ничего нового не сольет/не увидит, если видел.
Проведя беглый анализ кода на возможные уязвимости мы не нашли ничего, каким образом можно было бы получить выборку других пользователей и начали моделировать ситуацию. Были подключены несколько тестировщиков, задействован тестовый стенд, на нем был собран профиль на основании настроек Вежливого Снайпера и под ним осуществлен вход. Никаких данных других пользователей найдено небыло.
Далее начался анализ логов (журналов посещений). Логи у нас построены таким образом, что протоколируют всю деятельность не только пользователей, но и гостей. Проведя анализ запросов пользователя Вежливый Снайпер мы обнаружили 229 чтений различных сообщений в ЛС. При этом, во всех этих сообщениях он был участником диалога (либо он отправитель, либо он адресат). Ни разу он не перешел по ссылке не своего сообщения, которая сразу бы запротоколировалась. Если бы для вас был выведен список не ваших сообщений вы наверняка захотели бы проверить его и хотя бы раз нажать на переписку.
В итоге собрав все возможные логи мы пришли к выводу, что пользователю Вежливый Снайпер чужие сообщения не выводились и под своей учетной записью он просмотреть их никак не мог.
Далее мы подключили нашу систему определения попыток входа и двойных логинов. Она абсолютно однозначно определила, что пользователь «Вежливый Снайпер» входил по учетной записью пользователя HelenSN 19 мая в определенный промежуток времени (в целях конфидициальности для дальнеших разбирательств детали входов не предоставляются).
Все это время на форуме портала Е1 пользователь Вежливый Снайпер оскорблял модерацию портала лично, перейдя на имена. Под его «раздачу» и оскорбления попал не только лично я, но и наш модератор Елена Владимировна и весь портал вцелом, в результате чего существенно пострадал его имидж.
Мы нашли контакты пользователя HelenSN и созвонились лично с ней, она немного прояснила для нас ситуацию. Действительно, ее профиль взломали, как оказалось в дальнейшем — подбором пароля, мы дали рекомендации по дальнейшей безопасности.
Дополнительно к вышеперечисленным причинам блокировки пользователя Вежливый Снайпер добавились:
5.3.10. любым способом, в том числе, но не ограничиваясь, путем обмана, злоупотребления доверием, взлома, пытаться получить доступ к логину и паролю другого Пользователя;
5.3.12. осуществлять (пытаться получить) доступ к каким-либо Услугам иным способом, кроме как через интерфейс, предоставленный Администрацией Сайта, за исключением случаев, когда такие действия были прямо разрешены Пользователю в соответствии с отдельным соглашением с Администрацией;
5.3.4.13. а также нарушает иные права и интересы граждан и юридических лиц или требования законодательства Российской Федерации.
В результате действий пользователя Вежливый Снайпер:
- Была взломана учетная запись пользователя HelenSN
- Была нарушена тайна частной переписки
- Была стерта часть пользовательского контента в профилях из-за ложного информирования пользователей о дыре на портале
- Порталу был нанесен имиджевый ущерб
- Лично мне и Елене Владимировне были предъявлены оскорбления и обвинения (к слову о иске о защите чести и достоинства)
- Я потерял суточную зарплату
Итоговым решением Администрации стала полная блокировка пользователя «Вежливый Снайпер» без возможности восстановления. Я знаю, что возможно пользователь, понёсший наибольший ущерб из нас, рассматривает возможность о подаче иска по статье 138 УК РФ, п.1. В этом случае мы также обязаны обеспечить сохранность всей информации в ходе данного инцидента, которая была опубликована заблокированным пользователем.
Никакой дыры нет. Ваши Личные Сообщения конфиденциальны.
Но дополнительную защиту мы все же введем. Это будет защита и от перебора пароля и от неправомерного доступа. Мы начали форсировать внедрение связи учетной записи пользователя с номером мобильного телефона. Каждому даже уже существующему пользователю необходимо будет бесплатно привязать свой номер к учетке на сайте. Для новых — при регистрации. Подробная информация будет вместе с внедрением сервиса.
Нафиг ему это надо было?
и,надеюсь, другим послужит уроком, что нечего копаться в чужих профилях)
