{"id":2175,"url":"\/distributions\/2175\/click?bit=1&hash=803b6e1bcbd9dfc4ba9456fda887a878c80d24df8d3a575913b14876e18923a5","title":"TJ \u0437\u0430\u043a\u0440\u043e\u0435\u0442\u0441\u044f 10 \u0441\u0435\u043d\u0442\u044f\u0431\u0440\u044f \u2014\u00a0\u043f\u0440\u043e\u0447\u0438\u0442\u0430\u0439\u0442\u0435 \u0430\u043d\u043e\u043d\u0441 \u0441 \u0434\u0435\u0442\u0430\u043b\u044f\u043c\u0438","buttonText":"\u0427\u0438\u0442\u0430\u0442\u044c","imageUuid":"d1d355d8-93a3-5140-aeae-14b03046b760","isPaidAndBannersEnabled":false}

23 мар 2017 23.03.2017

несколько городов Статьи редакции

«ВКонтакте» отчиталась о работе над устранением масштабного сбоя, во время которого обычные пользователи соцсети получили служебные права. По данным компании, новые «администраторы» успели удалить десятки сообществ и записей, а также заложить несколько вымышленных городов в географической базе. Как объяснили TJ во «ВКонтакте», предложенные названия для новых населённых пунктов в основном оказались нецензурными или бессвязными.

22 702 просмотров

По данным «ВКонтакте», причиной сбоя стал «фатально невнимательный merge (слив) ветки, в которой переделывали один из внутренних интерфейсов». Все действия пользователей, получивших служебные права, сохранились в логах.

Отчасти из-за этого вакханалия продлилась всего четыре минуты — логи удивились такому количеству новых сотрудников, и сайт лёг.

представители «ВКонтакте»

Во «ВКонтакте» уточнили, что только в некоторых случаях пользователи соцсети получили все существующие права сотрудника. Обычно у модераторов, между которыми разделяют уровни ответственности, отсутствует доступ к полному комплекту прав. В компании также подчеркнули, что администраторы не могут получить права для просмотра приватных фотографий и чтения переписки.

Пользователи не изучали персональные данные других людей. Дополнительные проверки доступа к sensitive data работали, и посмотреть чужой IP-адрес или номер телефона никто не смог.

представители «ВКонтакте»

За время cбоя пользователи удалили один профиль, несколько фотографий и видеозаписей, заблокировали приложение из каталога и пополнили рекламный бюджет четырёх кабинетов. Некоторые «администраторы» прочитали служебную инструкцию спам-аналитиков, отправив несколько запросов с кандидатурами на эту должность.

Пользователи загрузили картинку с кроликами в раздел FAQ технической поддержки соцсети, а в публичном баг-трекере создали множество репортов. Последний раздел пока остаётся закрытым для «наведения порядка».

Мы откатились и начали изучать логи. Предстояло понять главное — была ли утечка персональных данных. Мы не могли проверить это мгновенно, поэтому запустили уничтожение автоматикой всех подряд скриншотов интерфейса, чтобы сдержать возможный слив sensitive data.

Как только стало достоверно известно, что утечки нет, выпиливание скриншотов остановили. Вернули утраченный контент, проанализировали причины случившегося и спланировали меры защиты от таких ситуаций.

представители «ВКонтакте»

Во «ВКонтакте» извинились перед своими пользователями и пообещали усовершенствовать внутренние процессы для того, чтобы избежать аналогичных ошибок в будущем.

В ночь на 21 марта пользователи «ВКонтакте» из-за сбоя получили доступ к баг-трекеру и другим инструментам модераторов. Пользователи развернули обсуждение ошибки на странице баг-трекера и получили полные права на управление сообществами. Вскоре администрация соцсети сообщила об устранении непредвиденного сбоя.

{"id":214360,"url":"https:\/\/tjournal.ru\/flood","name":"\u041e\u0444\u0442\u043e\u043f","avatar":"87e61880-a0b1-32ee-614f-49500608c2be","karma":null,"description":"\u0415\u0441\u043b\u0438 \u0432\u044b \u043d\u0430\u0448\u043b\u0438 \u0447\u0442\u043e-\u0442\u043e \u0438\u043d\u0442\u0435\u0440\u0435\u0441\u043d\u043e\u0435 (\u043d\u043e\u0432\u043e\u0441\u0442\u044c, \u0441\u0442\u0430\u0442\u044c\u044e, \u043a\u0430\u0440\u0442\u0438\u043d\u043a\u0443, \u0447\u0442\u043e \u0443\u0433\u043e\u0434\u043d\u043e), \u043d\u043e \u043d\u0435 \u0437\u043d\u0430\u0435\u0442\u0435, \u0432 \u043a\u0430\u043a\u043e\u0439 \u043f\u043e\u0434\u0441\u0430\u0439\u0442 \u044d\u0442\u043e \u043e\u043f\u0443\u0431\u043b\u0438\u043a\u043e\u0432\u0430\u0442\u044c, \u043f\u0443\u0431\u043b\u0438\u043a\u0443\u0439\u0442\u0435 \u0432 \u00ab\u041e\u0444\u0442\u043e\u043f\u00bb.","isMe":false,"isPlus":false,"isVerified":false,"isSubscribed":false,"isNotificationsEnabled":false,"isShowMessengerButton":false,"isShowSubscribe":true}

66 комментариев

Написать комментарий...

Духовный звук

23.03.2017

Жаль я не успел на это праздник

Ответить

Развернуть ветку

Специфический бас

23.03.2017

«фатально невнимательный merge ветки, в которой переделывали один из внутренних интерфейсов»

Хуяк-хуяк и в продакшн.

администраторы не могут получить права для просмотра приватных фотографий и чтения переписки

Да-да-да, иначе и быть не может.

Ответить

Развернуть ветку

Долгий кран

23.03.2017

Интересно, сколько человек почувствовали себя основателями новых городов.

Ответить

Развернуть ветку

Бесконечный файл

23.03.2017

Комментарий недоступен

Ответить

Развернуть ветку

Интимный бинокль

23.03.2017

Ок

Ответить

Развернуть ветку

Женский томагавк_два

23.03.2017

ICQ 😛

Ответить

Развернуть ветку

5 комментариев

Выходной Валера

23.03.2017

Фб

Ответить

Развернуть ветку

3 комментария

Полезный Петя

23.03.2017

Комментарий недоступен

Ответить

Развернуть ветку

4 комментария

Традиционный кофе

23.03.2017

Хулиганьё

Ответить

Развернуть ветку

Бесконечный файл

23.03.2017

Комментарий недоступен

Ответить

Развернуть ветку

Бесконечный файл

24.03.2017

Комментарий недоступен

Ответить

Развернуть ветку

1 комментарий

Природный самолет

23.03.2017

вот да, интересный вопрос

Ответить

Развернуть ветку

1 комментарий

Солидный шар

23.03.2017

Лишили их привелегий

Ответить

Развернуть ветку

4 комментария

Тупой череп

23.03.2017

Комментарий недоступен

Ответить

Развернуть ветку

Слабый ключ

23.03.2017

Веду группу в ОК, и надо сказать, что там меньше глюков, чем во ВК.

Ответить

Развернуть ветку

9 комментариев

Бесконечный файл

24.03.2017

Комментарий недоступен

Ответить

Развернуть ветку

8 комментариев

Грустный глобус

23.03.2017

А зачем нам эта информация?

Ответить

Развернуть ветку

Высокий торшер

23.03.2017

прост)))

Ответить

Развернуть ветку

Публичный бокал

23.03.2017

например, чтобы знать, получили ли доступ к личной информации или нет, восстановили ли контент или нет.

Ответить

Развернуть ветку

Правоохранительный ключ

23.03.2017

А какая информация вам зачем?

Ответить

Развернуть ветку

Важный ГОСТ

23.03.2017

Назнчьте этих "представителей Вконтакте" управлять страной, пожалуйста. Судя по их ответам - нереально адекватные люди

Ответить

Развернуть ветку

Органический украинец

23.03.2017

Усманова сделать мб презиком?

Ответить

Развернуть ветку

3 комментария

Валютный Женя

23.03.2017

Пользователи не изучали персональные данные других людей
За время cбоя пользователи удалили один профиль, несколько фотографий и видеозаписей

Когда путаешься в показаниях )

Ответить

Развернуть ветку

Северный пёс_анон

23.03.2017

Ну и где тут противоречие?

Ответить

Развернуть ветку

3 комментария

Программный браслет

24.03.2017

Мы откатились и начали изучать логи. Предстояло понять главное — была ли утечка персональных данных. Мы не могли проверить это мгновенно, поэтому запустили уничтожение автоматикой всех подряд скриншотов интерфейса, чтобы сдержать возможный слив sensitive data.

Таких нелепых отговорок я еще в жизни не видел. Мы терли ваши сообщения из личной переписки не потому что обосрались и пытались скрыть это, а потому что сэситив дата.

логи удивились такому количеству новых сотрудников, и сайт лёг.

Тот случай, когда лучше бы молчали. Либо кто-то цинично пиздит, либо ВК на таком дне, что дальше то уже и некуда. Как система логирования может положить гигантский распределенный сайт? Как можно было такое спроектировать?

Ответить

Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Написать комментарий...

Читать все 66 комментариев