«ВКонтакте» рассказала о причинах и последствиях сбоя с демонстрацией администраторских инструментов пользователям
Команда «ВКонтакте» объяснила причины сбоя, в результате которого пользователи получили доступ к панели администраторских функций, а также рассказала о последствиях случившегося. Объяснение опубликовано в блоге компании на «Хабрахабре».
Сбой в работе «ВКонтакте» произошёл в ночь на 21 марта. Причиной стал «фатально невнимательный merge (слив — прим.ред.) ветки», в которой переделывали один из внутренних интерфейсов, объяснили в соцсети.
«В результате любой пользователь стал считаться сотрудником. В некоторых случаях — сотрудником со всеми существующими правами», — говорится в блоге «ВКонтакте». По собственным данным компании, ежемесячная аудитория соцсети превышает 95 млн пользователей.
В компании подчеркнули, что полного набора прав администратора никто из пользователей не получил, поскольку ни для одного из сотрудников соцсети такого комплекта не предусмотрено.
Мы разделяем уровни ответственности да и работать с таким интерфейсом было бы неудобно. Есть люди, которые проверяют заявки на добавление вузов, есть переводчики, есть агенты поддержки и модераторы жалоб — у каждого отдела свой набор полномочий. Доступ к правам любого уровня сотрудник получает после подписания NDA. Все без исключения действия логируются. За применение магии вне Хогвартса предусмотрен огромный штраф (и перспектива судебного разбирательства).
По словам представителей «ВКонтакте», у пользователей был доступ к инструментам администраторов «всего четыре минуты», после чего сайт вышел из строя из-за «такого количества новых сотрудников».
За это время пользователи, по словам представителей соцсети, успели следующее:
- удалить с десяток сообществ и записей, один профиль, несколько фотографий и видеозаписей;
- заблокировать одно приложение;
- пополнить рекламный бюджет четырёх кабинетов;
- загрузить картинку с кроликами в FAQ службы поддержки;
- почитать мануал спам-аналитиков, после чего компания получила несколько просьб рассмотреть кандидатуру на эту должность;
- заложить несколько новых городов в географической базе;
- создать кучу заявок в публичном баг-трекере и проставить им статусы.
Публичный доступ к баг-трекеру по-прежнему закрыт «для наведения порядка». «Ему досталось больше остальных», — отметили во «ВКонтакте».
В соцсети утверждают, что пользователям не удалось изучить персональные данные других людей. «Дополнительные проверки доступа к sensitive data работали, и посмотреть чужой IP-адрес или номер телефона никто не смог», — утверждают в компании.
Представители «ВКонтакте» подчеркнули, что ни у кого из администраторов соцсети нет прав, которые бы позволили в личных целях посмотреть приватную фотографию или прочитать сообщение пользователя.
Мы предпочитаем не проверять своих сотрудников на прочность, поэтому такой возможности нет даже в теории. Кроме того, действия с правами видны всем коллегам — забанить тайком соседа-скандалиста тоже не выйдет.
Есть автоматика для удаления разного рода спама из любых разделов сайта, включая рассылки в личных сообщениях. Это сложная система, которую в режиме 24/7 корректируют наши аналитики. Она напоминает фильтр нецензурных выражений, который есть на любом приличном форуме, только всё гораздо мощнее и в реалтайме адаптируется под тренды спамеров.
Ещё есть отдельные жалобы самих пользователей на любой доступный им контент. Если Вы прислали другу фишинговую ссылку, а друг на неё пожаловался, модератор увидит сообщение с этой ссылкой в жалобе. И только его. Более того, невозможно предугадать, к кому из модераторов оно попадёт: жалобы распределяются рандомно среди десятка сотрудников на смене.
Примерно так же дело обстоит с приватными фотографиями — кнопка со страшным названием «Открыть приватные фото» работает только с точной ссылкой, которую предоставляет сам владелец фотографии — например, для восстановления доступа к аккаунту, на котором нет публичных снимков с его хозяином, или автор жалобы на пресловутое детское порно. Сотрудник не может открыть таким способом произвольный снимок с хоть какой-нибудь приватностью.
После устранения ошибки сотрудники «ВКонтакте» отменили совершённые пользователями от имени администраторов действия и начали изучать логи, чтобы выяснить, была ли утечка персональных данных.
«Мы не могли проверить это мгновенно, поэтому запустили уничтожение автоматикой всех подряд скриншотов интерфейса, чтобы сдержать возможный слив sensitive data. ��ак только стало достоверно известно, что утечки нет, выпиливание скриншотов остановили», — объяснили в соцсети.
В компании добавили, что также разработали меры защиты от таких ситуаций в будущем, но их детали не раскрыли.