Да, во второй части у нас в зале стало шумнее, так как часть народу разбилась по интересам и общалась. Операторы постарались вытянуть звук, но не везде получилось.
Анна, здравствуйте. Спасибо за статью и за повторное обращение к этому вопросу.
Давайте попробуем разобраться последовательно с двумя проблемами, про которые Вы написали.
1. По поводу первой ошибки, когда чужой email оказывается подтвержденным. Мы сейчас подняли нашу переписку и обнаружили, что ответили Вам, что это не ошибка безопасности.
Просим прощения, что некорректно сформулировали ответ. Это действительно не ошибка безопасности, но баг. Потому что в данной ситуации наносится ущерб нам как компании, а не пользователю. При помощи ошибки злоумышленник не может получить доступ к личным данным других пользователей. Все, что он может сделать – использовать чужой или несуществующий email в регистрации. Худшее, что может произойти — пользователь, который не регистрировался на нашем сайте, начнет получать от нас письма. Спасибо, что напомнили, что такой баг существует, мы его пофиксили.
2. По поводу второй ошибки об индексации ссылок Гуглом и другими поисковиками.
Сожалеем, что в переписке нам не удалось объяснить нашу позицию достаточно ясно. Попробуем сделать это еще раз.
— Поисковики проиндексировали авторизационные ссылки для приблизительно 0,002% от существующих аккаунтов.
— Подавляющее большинство проиндексированных аккаунтов можно отнести к тестовым или бот аккаунтам.
— Сайт Badoo.com не отдает поисковикам никакие личные данные пользователей (даже имя и фамилию можно скрыть). Гугл проиндексировал их на сторонних ресурсах.
Теперь давайте разберем подробно.
Есть специализированные сервисы, такие как tweetmail и groups.yahoo.com, которые в автоматическом режиме открыто публикуют все получаемые сообщения на своих страницах. Некоторые пользователи в качестве email при регистрации использовали адреса в таких сервисах. С этих сервисов ссылки и попадали в Гугл. А это означает, что данная проблема затрагивает только тех пользователей, которые добровольно и осознанно опубликовали свои данные.
Мы провели внутреннюю проверку и не обнаружили ни одного реального пользователя среди аккаунтов, которые мы смогли найти в Гугле.
Кроме того, у нас в начале года, еще до Месяца безопасности, был включен механизм инвалидации авторизационных ссылок, в момент индексации их Гуглом. Но Гугл не может проиндексировать все одновременно.
Мы были неправы, когда сказали, что скоро все эти данные будут инвалидированы. Как вы сами видите, в индексе Гугла остаются ссылки и проходит много месяцев прежде чем они переиндексируются и пропадают. Извините.
Спасибо, что еще раз подняли эту тему. Мы готовы ответить на вопросы, если они еще остаются.
Да, это значит, что уязвимость пофикшена. Но это не значит, что не нужно ее проверять или искать способ обойти фикс. Если Вы найдете такой способ, то мы можем засчитать это как новую уязвимость.
Чтобы не вводить никого в заблуждение, заменили в описании автоответ на: «Если форма заполнена верно, то высвечивается сообщение о том, что все хорошо и репорт улетел к нам».
Автоответ высвечивается при отправке формы.
А ответ каждому участнику мы отправляем руками, т.к. нам нужно немного времени на то, чтобы понять уязвимость ли нам прислали или нет.
Если репорт про уязвимость дублируется, то деньги за за него получает только первый участник.
Как только мы фиксим уязвимость, на сайте в таблице появляется его имя с описанием уязвимости и дата создания тикета.
Мы думаем, что это сделает процедуру более прозрачной.
Будет таблица с именами тех, чьи заявки в работе или уже пофикшены.
И отдельно сделаем страницу и пост с благодарностью. Но только с именами, не хотим светить e-mail участников.
Давайте попробуем разобраться последовательно с двумя проблемами, про которые Вы написали.
1. По поводу первой ошибки, когда чужой email оказывается подтвержденным. Мы сейчас подняли нашу переписку и обнаружили, что ответили Вам, что это не ошибка безопасности.
Просим прощения, что некорректно сформулировали ответ. Это действительно не ошибка безопасности, но баг. Потому что в данной ситуации наносится ущерб нам как компании, а не пользователю. При помощи ошибки злоумышленник не может получить доступ к личным данным других пользователей. Все, что он может сделать – использовать чужой или несуществующий email в регистрации. Худшее, что может произойти — пользователь, который не регистрировался на нашем сайте, начнет получать от нас письма. Спасибо, что напомнили, что такой баг существует, мы его пофиксили.
Информацию про все найденные уязвимости, за которые мы платили премии, можно посмотреть по ссылке: http://corp.badoo.com/security-board
2. По поводу второй ошибки об индексации ссылок Гуглом и другими поисковиками.
Сожалеем, что в переписке нам не удалось объяснить нашу позицию достаточно ясно. Попробуем сделать это еще раз.
— Поисковики проиндексировали авторизационные ссылки для приблизительно 0,002% от существующих аккаунтов.
— Подавляющее большинство проиндексированных аккаунтов можно отнести к тестовым или бот аккаунтам.
— Сайт Badoo.com не отдает поисковикам никакие личные данные пользователей (даже имя и фамилию можно скрыть). Гугл проиндексировал их на сторонних ресурсах.
Теперь давайте разберем подробно.
Есть специализированные сервисы, такие как tweetmail и groups.yahoo.com, которые в автоматическом режиме открыто публикуют все получаемые сообщения на своих страницах. Некоторые пользователи в качестве email при регистрации использовали адреса в таких сервисах. С этих сервисов ссылки и попадали в Гугл. А это означает, что данная проблема затрагивает только тех пользователей, которые добровольно и осознанно опубликовали свои данные.
Мы провели внутреннюю проверку и не обнаружили ни одного реального пользователя среди аккаунтов, которые мы смогли найти в Гугле.
Кроме того, у нас в начале года, еще до Месяца безопасности, был включен механизм инвалидации авторизационных ссылок, в момент индексации их Гуглом. Но Гугл не может проиндексировать все одновременно.
Мы были неправы, когда сказали, что скоро все эти данные будут инвалидированы. Как вы сами видите, в индексе Гугла остаются ссылки и проходит много месяцев прежде чем они переиндексируются и пропадают. Извините.
Спасибо, что еще раз подняли эту тему. Мы готовы ответить на вопросы, если они еще остаются.
corp.badoo.com/security-board/
Автоответ высвечивается при отправке формы.
А ответ каждому участнику мы отправляем руками, т.к. нам нужно немного времени на то, чтобы понять уязвимость ли нам прислали или нет.
Как только мы фиксим уязвимость, на сайте в таблице появляется его имя с описанием уязвимости и дата создания тикета.
Мы думаем, что это сделает процедуру более прозрачной.
И отдельно сделаем страницу и пост с благодарностью. Но только с именами, не хотим светить e-mail участников.