Перейти к содержанию

Безопасность пользователей форумов Invision


Nikita A. Tortsov

Рекомендуемые сообщения

Уважаемый Евгений!

 

Мы бы хотели узнать Ваше мнение (как эксперта в области информационной безопасности) по поводу следующих публикуемых в интернете материалов:

 

Не так давно выяснилось, что практически все личные (sic!) сообщения (синонимы: ЛС, personal mail, PM) на Форуме Первого канала (ФПК) проходят через пул модераторов. То есть, проще говоря, модераторы там их перехватывают и читают прежде, чем сообщения попадут к адресатам.
Последние проверенные данные: администрация ФПК может получить доступ к аккаунтам не только на Яндексе, но и на Рамблере.
Напомню, что Invision Board Resource разрабатывает, устанавливает и обслуживает корпоративные системы внутренней связи — в Альфа-банке, финансовой компании UMIS и Лаборатории Касперского. Представляете, дорогие читатели, какая суматоха поднимется из-за того, что в крупнейшем банке, огромной финансовой группе или службе информационной безопасности — везде сплошь шпионы, и только вследствие халатности и бездействия команды IBR... :)
Поясню суть претензий к Invision — либо в их продуктах существует явная возможность отключения шифрования личных данных (в том числе сообщений), что недопустимо, либо в их продуктах есть брешь, которую они случайно либо намеренно не устранили (что позволило веб-службе Первого канала этим воспользоваться, что, в свою очередь, не освобождает от ответственности IBR).
...администрация ФПК всерьёз полагает (и это на фоне такого вот «строгого» пункта в их внутренних Правилах: На форуме также запрещено всё, что запрещено законодательством РФ. Нарушение данного условия ведет к исключению Вас из числа посетителей Форума), что сообщения (посты) пользователей Форума, их изображения и видеофайлы в Галерее, их фотографии и комментарии в профилях, а также личная переписка — всё это является «изобретением» Первого канала.

Материалы предоставлены N-port.

 

Мы уже обращались в IBResource, но отклика не получили.

Тем не менее, Этический комитет Лаборатории Касперского ответил следующее: «Вполне возможно, что данная функция включена в используемый Первым каналом движок форума. Подробнее можно узнать либо у администрации форума Первого канала, либо у производителя движка форума.»

 

Благодарим за внимание и надеемся на Ваш отклик!

Ссылка на комментарий
Поделиться на другие сайты

Всем большой привет!

и приношу извинения за столь долгое молчание - у меня тоже случается отпуск. Аж почти на три недели. И совсем без доступа к Сети - Горный Алтай, Южный и Северный Чуйские хребты, ледники, перевальчик, сплав по Чуе и Средней Катуни. Надеюсь, что фото-отчет будет построен еще в этом году ;)

 

А по поводу Invision - я вообще не в теме, в первый раз слышу... Ждём пока остальные эксперты с воскресных дач подтянутся - мож они помогут.

Ссылка на комментарий
Поделиться на другие сайты

  • 2 weeks later...
Ждём пока остальные эксперты с воскресных дач подтянутся - мож они помогут.

Пока ждём, Евгений, можно узнать Вашу личную точку зрения на возможность чтения модераторами личных сообщений? Не правовую оценку, конечно (статья 63 ФЗ «О связи» действует), а только Ваше отношение как пользователя к таким привилегиям администрации?

 

Мнения пользователей того форума разделились:

— часть считает это вполне нормальным, и даже полезным для поддержания стабильности и безопасности самого форума;

— часть относится к этому нейтрально;

— часть просто в ужасе от сложившейся ситуации.

 

Чтобы не быть голословным, скажу: от пользователей из разных регионов России получено более 15 подтверждений того, что письмами, не дошедшими в своё время до адресатов (по неизвестной причине), можно было управлять из ACP (панели управления администраторов) форума, так как представители администрации ссылались на те письма.

 

Основатель корпорации Invision, веб-разработчик форумов IPB Мэтт Микам (Matt MECHAM) был очень удивлён тем, что кто-то осмелился настроить движок форума таким экстравагантным образом. Но пока дальше их отдела менеджмента запрос не пошёл; после 26 августа откликов, к сожалению, нет.

Ссылка на комментарий
Поделиться на другие сайты

  • 1 month later...

Мнение Мэтта Микама, Invision Power Services (28 сентября):

One must keep in mind that most data is stored in a database without encryption. So, while the Admin CP may not provide an interface for viewing 'private' data, one can easily view it via the DB itself. Naturally, passwords are not stored as plain text, but personal messages, etc, are stored as plain text so one could manually browse the DB records or they could write a script to view the messages.

 

Не следует забывать о том, что большая часть данных хранится в базе форума без шифрования. Поэтому, даже учитывая, что Админцентр [панель управления администраторов] не предоставляет возможности просмотра «личных» данных, администратор может без труда открыть их через саму базу данных форума. Естественно, пароли не хранятся в виде простого текста, но личные сообщения и тому подобное — хранятся как раз в форме текста, поэтому представители администрации форума имеют возможность вручную открывать записи базы данных. Кроме того, они могли написать скрипт для просмотра личных сообщений.

Вопрос к Евгению всё тот же:

...можно узнать Вашу точку зрения на возможность чтения модераторами личных сообщений? ...только Ваше отношение как пользователя к таким привилегиям администрации?
Ссылка на комментарий
Поделиться на другие сайты

Совершенно логично, что владелец любого сервиса (форума, электронной почты или ещё чего угодно) потенциально может читать всю информацию пользователей. Логически это абсолютно верно, если имеешь доступ к тому, где все хранится, то можешь и смотреть любое содержимое этого источника. Сейчас на некоторых форумах личные сообщения просто необходимо читать, чтобы искать пользователей, рассылающих спам. Есть специальный инструмент, выглядит он так.

 

С правовой точки зрения, здесь вроде все чисто. Юрист по радио говорил, что за чтение чужих электронных писем привлечь к ответственности невозможно. Я лично чужие ЛС давным давно не читаю, на это нет ни времени, ни возможности, ни необходимости. Естественно, это не относится к спам-ботам, их сообщения надо и прочитать, и удалить, но так приходится делать редко.

Ссылка на комментарий
Поделиться на другие сайты

Спасибо, Игорь!

Это наиболее обстоятельный и разумный отклик, который удалось получить в данной ситуации.

Тем не менее, у работников «бумажной» почты тоже ведь есть потенциальная возможность читать все проходящие мимо письма, но, как правило, они такими вещами не занимаются.

Никаких бы вопросов и споров не возникло, если бы в правилах форумов был пункт о том, что администрация имеет право, но не обязана, премодерировать / просматривать личные сообщения в таких-то целях (например, предотвращения спам-рассылок). Или не называли бы их тогда «личными», в конце концов.

Просто когда обычный пользователь пять лет был уверен, что переписка user-to-user на самом деле является таковой, а потом выясняется, что её модераторы с админами всё это время читали и обсуждали между собой (и ещё сплетни пускали), то как-то не по себе становится.

 

Приведу слова одного из пользователей:

Иногда бывает — общаешься с кем-то в теме. Ты, она и модеры. (Ну, пользователей мало вообще.) Модеры говорят — перенесите ваш милый диалог в личку! Обидно. Ты ведь для всех стараешься. И тут выясняется, что модеры никуда не подевались. Только в зале свет притушен. Это знаешь ли, даже романтичнее.

 

Что касается правовой точки зрения, это смотря какой юрист и по какому радио говорил. Статья 63 Федерального закона «О связи» от 7 июля 2003 года № 126-ФЗ:

1. На территории Российской Федерации гарантируется тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных и иных сообщений, передаваемых по сетям электросвязи и сетям почтовой связи. Ограничение права на тайну переписки, телефонных переговоров, почтовых отправлений, телеграфных и иных сообщений, передаваемых по сетям электросвязи и сетям почтовой связи, допускается только в случаях, предусмотренных федеральными законами.

2. Операторы связи обязаны обеспечить соблюдение тайны связи.

3. Осмотр почтовых отправлений лицами, не являющимися уполномоченными работниками оператора связи, вскрытие почтовых отправлений, осмотр вложений, ознакомление с информацией и документальной корреспонденцией, передаваемыми по сетям электросвязи и сетям почтовой связи, осуществляются только на основании решения суда, за исключением случаев, установленных федеральными законами.

Видно, что форумские личные сообщения попадают в категорию «иные сообщения, передаваемые по сетям электросвязи». А «случаи, предусмотренные федеральными законами», — это, например, когда спецслужбы проверяют посылки: вдруг там оружие или наркотики аккуратненько упакованы. Но это же не наш случай, правда? ;)

Ссылка на комментарий
Поделиться на другие сайты

вы думаете админам охота читать вашу переписку с кем либо?

Я и не думаю. Я знаю. Они мне сами в этом признались. ;)

Скажу больше: меня админы на том форуме заблокировали до 3 марта 2032 года и запретили копировать мои собственные посты / сообщения и публиковать их где-либо ещё, мотивируя это тем, что права на них с некоторых пор принадлежат Первому каналу. Но это уже несколько другой аспект вопроса...

 

Давайте всё-таки дождёмся ответа Евгения Касперского! :)

Изменено пользователем Nikita A. Tortsov
Ссылка на комментарий
Поделиться на другие сайты

1. Хотите гарантированно приватного общения - пользуйтесь защищёнными протоколами с динамическим шифрованием.

2. Спецслужбы читают всё - и электронную почту, и ICQ-переписку, и чаты скайпа и гугла, да много чего... Поэтому вряд ли стоит обращать внимание на наличие возможности в движке форума по прочтению личных сообщений, тем более, что иногда это необходимо администрации, причём явно не из интереса.

3. Верить в приватность в Сети - наивно...

Ссылка на комментарий
Поделиться на другие сайты

1. Хотите гарантированно приватного общения - пользуйтесь защищёнными протоколами с динамическим шифрованием.

Уже пользуюсь. ;)

 

2. Спецслужбы читают всё...

Я не против — пусть читают. Меня другое забавляет — всё-таки представители администрации форумов, как правило, не являются «спецслужащими». Хотя... кто знает... :)

 

3. Верить в приватность в Сети - наивно...

Полностью Вас поддерживаю! Просто не хочется, чтобы публичные сообщения называли приватными. Не люблю «мутные» термины.

Ссылка на комментарий
Поделиться на другие сайты

Ждите ответа Е.К.

 

Так вроде бы Е.К. дал ответ

 

А по поводу Invision - я вообще не в теме, в первый раз слышу... Ждём пока остальные эксперты с воскресных дач подтянутся - мож они помогут.
Ссылка на комментарий
Поделиться на другие сайты

Тем не менее, у работников «бумажной» почты тоже ведь есть потенциальная возможность читать все проходящие мимо письма, но, как правило, они такими вещами не занимаются.

Но ведь могут и, следовательно, иногда занимаются. :give_rose: Вероятность такая есть.

Никаких бы вопросов и споров не возникло, если бы в правилах форумов был пункт о том, что администрация имеет право, но не обязана, премодерировать / просматривать личные сообщения в таких-то целях (например, предотвращения спам-рассылок). Или не называли бы их тогда «личными», в конце концов.

Это разумно, но вопрос уже не к нам, а к тем, кто занимается. :D

Что касается правовой точки зрения, это смотря какой юрист и по какому радио говорил. Статья 63 Федерального закона «О связи» от 7 июля 2003 года № 126-ФЗ

Я знаю, есть статья, подобная статья есть в уголовном кодексе. Важнее реальное применение, если будет хоть 1 случай привлечения администратора электронной системы обмена личными сообщениями за их чтение, то это будет хоть что-то значить. Пока это просто слова.

 

Удачного общения на форумах! Я сказал все.

Ссылка на комментарий
Поделиться на другие сайты

Удачного общения на форумах! Я сказал все.

Большое спасибо, Игорь! Теперь точка зрения инсайдеров понятна.

 

Тем не менее, хочется услышать ответ Евгения. :) И ещё дополнительный вопрос: может ли Лаборатория Касперского сделать что-то вроде анти-спама для форумов? Тогда и модуль этот, mod_spam, не понадобится. И соблазна читать личные сообщения у представителей администрации будет меньше. ;)

Ссылка на комментарий
Поделиться на другие сайты

  • 5 months later...

Евгений, интересует Ваше мнение по поводу статьи, опубликованной в научно-практическом сборнике «Экономика. Право. Лингвистика» (декабрь 2009). Заранее благодарен. :)

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Elly
      От Elly
      Вопросы по работе форума следует писать сюда. Вопросы по модерированию, согласно правилам, сюда писать не следует.
      Ответ можно получить только на вопрос, который грамотно сформулирован и не нарушает правил\устава форума.
    • Good2000
      От Good2000
      Мне нужно было зайти в безопасное систему для удаления файла в итоге после того как я зашел в безопасный режим и перезагрузил ПК win 11 монитор стал черным и не включается.Но сам по себе компьютер работает я  доставал провода и включал выключал монитор все четно.Поэтому не понимаю что произошло и как это пофиксить(
    • Acteon_927
      От Acteon_927
      Для банков Сбер и ВТБ в безопасных платежах в полях ввода данных исчезли значки вызова экранной клавиатуры. Это нормально или это ошибка? Используется браузер Google Chrome.  Windows 10.
       

    • MadMess
      От MadMess
      Хотел очистить ПК от вирусов, посмотрел видео в ютубе как очистить вирусы, нужно было зайти в безопасный режим через msconfig. Я перезагрузил ПК чтобы зайти в безопасный режим но вместо этого черный экран. Перезагрузил по кнопке, все равно тот же черный экран. Что делать? Комп и монитор работают
    • KL FC Bot
      От KL FC Bot
      Ранее мы рассказывали, почему перед началом использования беговых трекеров обязательно нужно настроить конфиденциальность и приватность как в целом на смартфоне, так и в самом трекинговом приложении, — для минимизации утечки ваших персональных данных, включая геопозицию, в открытый доступ. Вы же не хотите, чтобы любой желающий мог подписаться на информацию о ваших пробежках и точно знать, где и когда вас можно найти офлайн?
      Вы можете изучить уже опубликованные инструкции по настройке смартфонов и популярных беговых приложений Strava и Nike Run Club, а сегодня мы поговорим о настройках приватности в MapMyRun.
      У приложения MapMyRun (версии для Android и iOS) очень любопытная история. В сентябре 2024 года оно было приобретено в составе пакета приложений MapMyFitness медиакомпанией Outside под руководством генерального директора Робина Терстона у американского производителя спортивной обуви и одежды Under Armour. A Under Armour, в свою очередь, приобрела этот пакет аппов за $150 млн в 2013 году у некоего… Робина Терстона, основавшего MapMyFitness в 2007 году! Таким образом, через 11 лет Робин вернул себе компанию, основанную им 17 лет назад.
      Настраиваем приватность в MapMyRun
      Найти в этом приложении настройки приватности, нажав на кнопку с шестеренкой в правом верхнем углу основного экрана, как обычно, не получится — это снова настройки тренировки. Вместо этого надо нажать на кнопку с тремя точками в правом нижнем углу (для iOS) или на «бургер-меню» из трех линий в верхнем левом углу (для Android), далее выбрать пункт Настройки (не Центр конфиденциальности — это другое) и уже на открывшейся странице выбрать Конфиденциальность.
      Где найти настройки приватности в приложении MapMyRun: ••• → Настройки → Конфиденциальность
       
      View the full article
×
×
  • Создать...