company_banner

«Утечка» базы специалистов Хабр Карьеры

    Сначала в телеграм-каналах, а потом и на Хабре появилась информация об утекших данных пользователей с сайта Хабр Карьеры. Считаем нужным дать более развёрнутый комментарий, а также рассказать о том, как устроены настройки приватности на сервисе.

    TL;DR
    Утечки не было, но информацию спарсили

    Утечка

    Сразу доза успокоительного: каких-либо следов проникновений в базу данных сервиса мы не обнаружили. 

    Что же тогда произошло? Ни в коем случае не хочется переваливать вину на самих пользователей, но всё же оказавшаяся в «утечке» информация ещё до этого была доступна в сети. Просто кто-то решил её собрать и со стороны сайта этому очень непросто противостоять.

    Поэтому мы решили проинформировать наших текущих и будущих пользователей, как на Хабр Карьере устроена приватность. Чтобы, во-первых, всем было понятно, о парсинге какой именно информации идёт речь. А, во-вторых, чтобы, зная это, каждый более сознательно управлял своей приватностью в сети.

    Как устроена приватность на Хабр Карьере


    На сервисе есть две основные настройки приватности: для всего профиля в целом и для контактной информации. 

    Пользователь может выбрать, кому показывать свой профиль:

    • Всем, в том числе гостям и роботам (значение по умолчанию при регистрации)
    • Только авторизованным пользователям
    • Друзьям и кураторам вакансий с моим откликом
    • Никому не показывать

    Контакты пользователя — часть его профиля, и для них есть дополнительные настройки приватности. Пользователь может выбрать, кому показывать свою контактную информацию:

    • Только авторизованным пользователям
    • Друзьям и кураторам вакансий с моим откликом (значение по умолчанию при регистрации)
    • Никому не показывать

    Для настройки приватности контактов мы в своё время намеренно убрали настройку «Всем, в том числе гостям и роботам», чтобы контактная информация не индексировалась поисковиками. Ведь если последнее происходит, то пользователь не может быстро убрать свои контактные данные из сети. Он их скрывает на Карьере, но они всё равно ещё довольно долго остаются висеть в индексах поисковиков.

    Также пользователь не может поставить контактной информации более мягкие условия приватности, чем он это сделал для своего профиля в целом. Например, если у профиля стоит приватность «Друзьям и кураторам», то у контактов уже нельзя поставить настройку «Только авторизованным».


    Пользователь видит, какие настройки приватности профиля и контактов у него стоят, в левой колонке на главной своего профиля. Текст с описанием каждой настройки кликабельный — ссылка отправляет пользователя на страницу, где можно поменять соответствующую настройку.


    На текущий момент у нас следующая статистика по приватности пользователей:

    Приватность профилей:

    • 90% видны всем (значение по умолчанию при регистрации)
    • 6% видны авторизованным
    • 1% видны друзьям и кураторам вакансий с откликом
    • 3% скрыты ото всех

    Приватность контактов:

    • 25% видны авторизованным
    • 75% видны друзьям и кураторам вакансий с откликом (значение по умолчанию при регистрации)
    • < 1% скрыты ото всех

    Как видно, 10% пользователей предпочитают после регистрации выбирать более жёсткие настройки приватности своих профилей в целом, а 25% — более мягкие настройки приватности своих контактных данных.

    Таким образом, любой пользователь, залогинившийся на сайте, может просматривать (и сохранять) профили почти всех пользователей и контактную информацию четверти пользователей. Что, собственно, и произошло.

    Что в архиве


    До содержимого архива, выложенного на одном из форумов, мы так и не добрались. Но, судя по предоставленной сопроводительной информации, там представлена как раз информация, доступная в профилях пользователей другим зарегистрированным пользователям сервиса. У нас есть закрытый API для работы со своими вакансиями и откликами на сторонних площадках, но данные из выложенного архива не из этого API — просто бот ходил по страницам, парсил их и складывал в файлик. Судя по числу записей эта база собиралась в течение долгого времени (чтобы не привлекать внимания).

    Конкретный пример:


    И вот эта анкета на сайте:


    Что мы предпримем


    Изначально было понятно, что защититься от парсинга технически очень сложно (а порой — просто нецелесообразно). Статьи на Хабре это только подтверждали:


    Тем не менее мы всё же проконсультировались с несколькими людьми, которые занимаются этим не в качестве хобби, а в промышленных масштабах. Максим makasin4ik из xmldatafeed.com рассказал, что сейчас парсят всё и вся, но вместе мы придумали несколько нюансов, которые будут доработаны. Вот некоторые из них:

    • Лимит на количество запросов под авторизованным пользователем. На том же HH.ru такой лимит сейчас составляет 500 анкет в сутки, у нас он будет меньше.
    • Совет из разряда «Не можешь победить — возглавь»: предоставление платного API для легального парсинга базы. 
    • Дополнительно регулярно информировать тех пользователей, которые указали о себе много публичной контактной информации.



    Очень бы не хотелось, чтобы наши сервисы подвергались реальным техническим угрозам, поэтому в скором времени также планируем запустить bounty-программу. А пока, если вы нашли уязвимость, сообщите нам в форму обратной связи — найдём общий язык и всё исправим. 

    Спасибо за внимание!
    Хабр Карьера
    Сервис развития карьеры в IT

    Комментарии 67

      +1
      Что за программа на 4-той картинке?
        +2
        cronosplus или сторонний Cronos viewer какой0нибудь
          0
          Благодарю.
        +32
        Так может надо начать вот с этого:
        90% видны всем (значение по умолчанию при регистрации)
          +2
          Вот тоже удивило. Как то раз «вас интересует работа? Мы тут видели вашу статью на хабре». Сначала не понял где они мой номер надыбали, потом закрыл профиль.
            +2
            Приватность профилей:

            90% видны всем (значение по умолчанию при регистрации)
            6% видны авторизованным
            1% видны друзьям и кураторам вакансий с откликом
            3% скрыты ото всех


            Эффект ленивого пользователя — настройки по умолчанию стоят у 90% пользователей.
            Ну сделать максимально скрытые по дефолту, и при регистрации запускайте мастер настройки. Чтобы пользователь осознанно выбирал степень видимости. А у любителей прощелкивать «далее >» настройки оставались приватными.
              +6
              И усложнить регистрацию всем пользователям в угоду 10%?
                0
                Чем усложнить регистрацию? Несколькими кликами на экране первоначальной настройки с выбором приватности профиля?
                  +14
                  Да
                  +1

                  Скорее поможет всплывающая плашка сверху — типа — у вас не настроены профили безопасности ))) это и даст регистрацию простую и подтолкнет пользователя разбираться в сервисе

                    +3

                    Надо по умолчанию ставить "видны друзьям и кураторам вакансий с откликом", так как это максимально соответствует назначению сайта для поиска работы.

                    +3
                    Ваша фраза «И усложнить регистрацию всем пользователям в угоду 10%?» предполагает, что 90% осознанно хотят оставить профиль открытым. Выходит, это утверждение является вашей гипотезой? Строя таким образом рассуждение, вы упускаете существенный момент: какое то количество людей оставят выбор по умолчанию, каким бы он ни был. Предполагаю, что доля таких людей будет существенной. Предполагаю, что выбор не оставлять настройки по умолчанию приватными в большей степени сделан с учётом именно этого момента: предполагаемого значительного количества людей, оставляющих настройки по умолчанию (какими бы они ни были). А такому сервису, естественно, выгоднее увеличение количества открытых данных, а не закрытых. Не критикую Хабр Карьеру и их выбор. Моё замечание к тому, что давайте будем более точными в рассуждениях.
                      +3

                      Мой комментарий относится непосредственно к предложению мастера настройки.
                      Учитывая сервис, который предполагает распространение информации пользователя, то делать жесткие настройки приватности — это не рационально. Давать такие возможности надо, они и даются. И да, регистрируются на таких сервисах люди, которые заинтересованы или в поиске работы или распространении информации о себе, что в обоих случаях подразумевает не скрытие данных.
                      И как раз некоторым пользователям интересно себя скрыть. Не для них этот сервис. Я могу ошибаться, этого не отрицаю. Поправьте меня, но будьте добры предоставить цифры

                        0
                        И да, регистрируются на таких сервисах люди, которые заинтересованы или в поиске работы или распространении информации о себе, что в обоих случаях подразумевает не скрытие данных.

                        Да, только это не подразумевает "не скрытие" для всех подряд.

                        +4
                        Совершенно очевидно, что этим 90% просто пофиг. Зачем что-то им навязывать?
                          0
                          Не понял вас. Когда есть выбор из нескольких вариантов, то какими бы ни были настройки по умолчанию, они будут «навязывать» пользователю то или иное решение. Если при инициализации профиля запускается некий мастер, то запуск мастера это «навязывание» принятия решения. О каком конкретно навязывании вы говорите? Сейчас действует «навязывание» открытости профиля.
                            0
                            Выше вы говорите о «мастере настроек», который навязывает пользователям принятие решений. Ну и логично же, что если я что-то публикую в интернете, то скорее всего я хочу чтобы это видели. Потому также логично, что дефолтный вариант дает максимальный охват потенциальной аудитории.

                            Потому, если человек не пошел ничего настраивать, то либо настройки его уже устраивают, либо ему пофиг.
                              0
                              И есть еще категория пользователей, которые не знают о возможностях сервиса. Но это же не про IT :)
                        0
                        Не соглашусь, что это усложнит жизнь пользователям, а вот хабру, с точки зрения SEO, однозначно)
                          0

                          Если эти 10% вопят громче — то да.
                          "ему проще дать, чем объяснить, что не хочу".

                    +5

                    Я бы посмотрел в сторону скрытия личной информации и раскрытия ее по отдельному действию, возможно, с большой вычислительной сложностью. Еще есть вариант, хотя и более дорогой для компании, маскировки реальных телефонных номеров через voip прокси. Хотя с моей точки зрения это все выглядит скорее защитой солонки. Люди, размещающие резюме, должны быть готовы к такому.

                      +23

                      Реализовать еще возможность посмотреть на свой профиль при текущих настройках приватности "со стороны" как гость, бот, работодатель...

                        +5

                        Приватность — это круто, и хорошо что в последнее время этим занимаются. Однако, я ещё в 2002 году студентам рассказывал: если вы закачали информацию в сеть, однажды она может стать публичной.

                          +17
                          Особенно если вы выложили её для того, чтобы она стала публичной)
                          0
                          А если банально отображать телефон/email картинкой? Email конечно сделать кликабельным.
                            +4

                            Бессмысленно и излишне раздражающе. Согласен, что HR должен страдать )) Но парсер это не остановит: оптическое распознавание творит чудеса.

                              +7

                              "Последние цифры моего номера телефона — количество картинок с дорожными знаками в этом наборе". Капчастрадание!

                                +1

                                Причём, считается ли картинка с частично видимым дорожным знаком или нет определять генератором случайных чисел.

                              +8

                              То студентам, которые учат Python, придется учить OpenCV...

                                +4

                                Или они просто поставят pytesseract и ничего не изменится.

                                +5
                                Альтернативный вариант: вообще не показывать контактные данные, а сделать кнопку «запросить». Кому интересно — нажмёт, а пользователю приходит уведомление о том, что с ним хотят связаться, и разрешает либо запрещает. В конце концов, у платформы наверняка есть чат, контактные данные-то зачем? Для ленивых HR-ов?
                                  +2
                                  Будут парсить картинку в базу. Даже распознавать не нужно — кому надо, глазами прочтет)

                                  Разве что база нужна для автопрозвона, но даже тогда можно нанять задешево человека, который эти телефоны переведет в текстовый вид.
                                  +1

                                  Вот многие, если не все, защищаются от автоматического скачивания данных, пресловутого web scraping. Если не учитывать увеличенную нагрузку на сервер, то почему этому нужно сопротивляться? Ведь Раз уж случилась такая оказия, то было бы интересно услышать ваше мнение.

                                    0
                                    Представьте, вы потратили n-денег на создание интернет-магазина и наполнением его контентом: товарами, фотографиями и описанием.
                                    Вася вдруг захотел себе такой же магазин, и с тем же наполнением, но не стал заморачиваться с уникальностью, собственными фотками и прочим, а напросто спарсил за копейки весь ваш контент… ну как минимум — обидно, да и +1 конкурент.
                                      +3
                                      спарсил за копейки весь ваш контент

                                      ИМХО, но с этим должны бороться с другой стороны. Т.е. мы должны быть защищены законом. если я увидел сграбленный мой сайт, тогда владелец должен мне будет заплатить n*2 денег по решению суда.
                                        +2
                                        Допустим заплатит, но пока будет идти судебное разбирательство — пройдёт пара лет, за которые ты упустишь прибыли значительно больше, чем n*2.
                                        +6

                                        Я сейчас выскажу противоположную точку зрения.
                                        Я хочу, чтобы все онлайн магазины работали на одинаковом движке и предоставляли пользователю одинаковый интерфейс. Картинки товара, если он не собственного производства, поставлялись производителем. Описание (характеристики) тоже от производителя, а не переписанные руками с этикетки и с ошибками.
                                        Магазины с оптимизацией производительности, без индивидуальных глюков и с привычной навигацией.
                                        Клиента не перделками и свистелками заманивать надо, а ассортиментом, доставкой, ценовой политикой и прочими оффлайн-добавками к процессу покупки.
                                        Я вот понимаю условные пятерочки, которые в силу конфигурации помещений вынуждены располагать стеллажи в каждом магазине уникально (что задалбывает, когда быстро надо закупиться не в своем магазине). Но, блин, интернет прилавки, где нужно обеспечить максимально эффективный механизм общения покупателя с базой товара…
                                        Немного отклонились от темы, но подытоживая — я за то, чтобы и движки и не авторский контент свободно распространялся. За унификацию.
                                        База анкет — да, я сам хочу, чтобы моя контактная информация, которую я разместил, распространилась. Я же для этого ее и выложил. Но есть жирный минус — я не властен управлять временем ее жизни. После утечки она становится вечной, в отличие от анкеты, которую я могу закрыть. Выход — виртуальный телефонно-почтовый номер (чисто входящий, без заморочек с идентификацией личности, сервис оператора связи), уникальный за все время, с ограниченным или управляемым временем жизни. Это отдельный вид продукта, может уже на эту тему и есть подвижки.

                                          +2
                                          Картинки товара, если он не собственного производства, поставлялись производителем.

                                          Вот тут я против, от производителя идут или рендеры, или совсем почищенные фото. Иногда хочется взглянуть на товар «в естественной среде обитания».
                                            +6
                                            Дайте уже хоть какие-нибудь картинки! Почему на али к каждому товару 100500 фоток, а в нашем магазине либо «фото ожидается», либо одна фотка с размером 15х15pt? Потом жалуются, что покупают на али, а не у них.
                                              +3

                                              Поэтому и хочется "народную базу товаров". Для товара данного производителя "самозарождается" его фотография и магазины на нее ссылаются. Понимаю, что с нуля такой сервис раскручивать коммерчески тяжело. Ну и надо преодолеть этот барьер "эти базы неудобные, сделаем свою, лучше".


                                              Википедия тоже поначалу была народным творчеством, а сейчас на нее диссертации ссылаются. Получится товаропедия, простите… Типа отзовика в своем сухом техническом остатке.

                                              +4
                                              Магазины со своими, «живыми» фотографиями имеют в моих покупательских глазах колоссальное преимущество перед конкурентами со стоковым фотошопом/рендерами.
                                              Это я сейчас не теоретизирую, это многолетний опыт покупок.
                                                +2

                                                Соглашусь. Но на условную половину.
                                                Покупая стоковый товар из раза в раз одного и того же производителя (набираю крепеж в строительном, канцелярию, корм животным, радиодетали...) мне вобщем-то пофиг на его изображение. Часть позиций вообще в таблично-текстовом виде идет. Предпочтение отдается как раз магазину с быстрым и удобным сайтом, удобной доставкой и, при больших и частых заказах, низкой ценой.
                                                Выбирая что-то в первый раз, подбирая по внешним характеристикам, я потрачу силы на ковыряние в разношерстных магазинах, чтобы познакомиться с товаром. Если он серийный, то дальше выливаю воду из чайника и этот же товар снова ищется в удобном, а не в красивом магазине.

                                              –1
                                              вы статью читали? статья как раз об этом, нет защиты и будет и обидно и представьте… разве что вы можете этот сайт у себя только на домашнем компьютере развернуть ))) и никому не показывать…
                                                0

                                                Товар на складе и договорённости с поставщиками он тоже спарсит?

                                                  0
                                                  Вы мыслите эгоистично с точки зрения индивида, а обществу выгоднее чтобы было +1 и +100к конкурентов, а не чтобы Васе было не обидно, куда придет человечество, если каждый будет делать одну и ту же работу, только потому, что другой не разрешил взять и скопировать.
                                                  0

                                                  И представьте, что вы выложили данные "только для Хабра", по крайней мере в надежде, что они не попадут в поисковики. А те, кто данные спёр, спокойно выложат и в открытый доступ.

                                                  –10
                                                  Т.е. вы хотите сделать платный API, через который можно без проблем парсить данные участников, не спросив их разрешения? Т.е. тупо получать деньги за «слив» персональных данных? Или вы соглашение пересмотрите, в котором в самом низу допишите, что можете передавать данные третьим лицам?
                                                    +3
                                                    Так ведь информация является публичной в большинстве своём:
                                                    90% видны всем (значение по умолчанию при регистрации)


                                                    Думаю, апи будет возвращать как раз публичную информацию, которую можно и самому спарсить, как и случилось в сабже.
                                                      +1
                                                      Да, как уточняет makssof, речь исколючительно о публичной информации.
                                                      +3

                                                      TL;DR (2): то не баг, а фича! :))

                                                        +3
                                                        Лимит на количество запросов под авторизованным пользователем. На том же HH.ru такой лимит сейчас составляет 500 анкет в сутки, у нас он будет меньше.

                                                        я думаю более правильно делать рейтлимит с burst'ом, чем прямое ограничение на количество просмотров анкет. Кстати, кривая реализация этой возможности приводит к парадоксальным ситуациям, когда лимиты у незарегистрированных юзеров выше, чем у зареганных (WAT?)

                                                          0
                                                          Но ведь зареганные и видят больше. Без регистрации контактные данные не спарсишь
                                                          +1
                                                          Совет из разряда «Не можешь победить — возглавь»: предоставление платного API для легального парсинга базы.

                                                          Верный вариант. Всё же воевать с ботами дело конечно интересное, но очень неудобное для сервиса. На счёт изменения лимита не вижу особой необходимости так как боту даже если лимит будет 20 анкет в сутки это не как не помешает только увеличит время разработки бота.
                                                            +4
                                                            Немного арифметики.

                                                            На главной странице Хабр.Карьера указано, что там 148817 специалистов (этой информации не хватает в статье, кстати). Округлим до 150к и прикинем, во что обойдётся парсинг.

                                                            Смотреть будем для лимита 500 анкет / сутки. В статье сказано, что здесь он будет меньше, но совсем непонятно насколько меньше. Как достоверное известно — даже 499 будет меньше, чем 500.

                                                            150к / 500 = 300 дней при парсинге с одного аккаунта. Или 1 день при парсинге с 300 аккаунтов.

                                                            Не являюсь пользователем Хабр.Карьеры, не знаю является ли там обязательным телефон. Прямо сейчас в форме регистрации я его не увидел. Если он не обязательный — то зарегистрировать 300 аккаунтов проблемы вообще не составит.

                                                            Если телефон обязательный — это опять же ничем не поможет. Стоимость получения СМС будет около 3р. Итого за 900р получим полный набор аккаунтов для парсинга.

                                                            Ещё будут расходы на прокси и скрипты. Но если говорить о скрапперах — то у них уже есть прокси, а скрипты они как-нибудь напишут.

                                                            Не знаю какие будут цены на API, но полагаю адекватные. Мой вывод из этих цифр, что API может защитить от любительского скраппинга, т.к. он станет невыгоден (цена прокси + скриптов скорее всего будет выше 10 т.р.), но от профессиональных скрапперов не поможет от слова совсем.

                                                            Если нужно победить профессиональных скрапперов — как вариант цена запросов по API должна быть не только соизмерима с ценой скрапинга, но и API должна предоставлять больше полезных данных, если это допустимо пользовательским соглашением. Вообще от профи не поможет даже бесплатный API, как писали в статьях о скрапинге =)
                                                              0
                                                              Одноразовый телефон для получения СМС стоит примерно 1 рубль.
                                                                0
                                                                Непонятно что вы имеете в виду под одноразовым телефоном.

                                                                Дайте пожалуйста конкретные ссылки. Должна быть возможность получить минимум 300 телефонов.

                                                                Указанная мной цена 3р — это с реального сервиса.
                                                                  0
                                                                  Ммм… Я как-то проглядел ваш абзац с ценой и ответил на предыдущий, без какого-либо намерения что-то оспорить. Касательно примеров, на sms-activate.ru цены начинаются с рубля в зависимости от ресурса. Для произвольных целей 2р50.
                                                              +2

                                                              Мне больше нравится подход, установленный на djinni.co — рекрутеры видят анонимизированные пользовательские резюме, и только когда пользователь хочет, он раскрывает контактные данные конкретному рекрутеру, который ему написал.
                                                              Но понятно, что цели у сервисов разные — Джинни чисто для поиска работы, в то время как Хабр Карьера пытается заменить собой заблокированный в России LinkedIn.

                                                                0
                                                                небольшое улучшение ситуации с минимальными затратами- при регистрации настроить приватность. Ваш профиль могут видеть все- да или нет.
                                                                  0
                                                                  LinkedIn существует разве не как способ поиска работы? Ты в нем выставляешь свою карьеру, обрастаешь связями, друзьями. Там тебя могут найти новые работадатели. Или там прям социальная сеть, со своей Веселой фермой и куртизанками?
                                                                    0
                                                                    Скорее, второй вариант
                                                                    +4
                                                                    У меня до сих пор остаётся открытым вопрос про прошлогодний запрос от гэбэшников к Хабру, где те просили раскрыть определённых пользователей. Кто-то вообще тут помнит про ту историю, которая всплывала на «Медузе»? Начальство хабра клятвенно обещали объясниться, что типа они всё нам расскажут. Но так и не сделали этого.

                                                                    Вот тут вся информация, в конце приведено обещание «скоро всё объяснить»:
                                                                    habr.com/ru/company/itsumma/news/t/487982
                                                                      +3
                                                                      Мне спама и так хватает, меньше всего я хочу прочитать следующую статью:
                                                                      На хабре произошла утечка емейлов, телефонов, личных переписок и т.д. Ответ администрации: пользователи не поменяли какую-то там настройку.

                                                                      Что я ожидал увидеть в статье:
                                                                      1. признание фейла
                                                                      2. меры по исправлению
                                                                      3. меры, чтобы такого не было в будущем

                                                                      Что я увидел в статье:
                                                                      1. утечки не было
                                                                      2. пользователи сами виноваты
                                                                      3. менять ничего не будем

                                                                      Я бы мог представить такую ситуацию лет 10-15 назад, но точно не сегодня.
                                                                      Что будет если кто-то из пользователей пожалуется, что без прямого разрешения пользователя слили его персональные данные?
                                                                      Вы можете сказать, что вы на Кипре и вас не касаются Российские законы, но здесь ещё более суровый GDPR, согласно которому вы можете предоставлять персональные данные, только участникам программы GDPR.
                                                                      Т.е. если я сейчас сделаю GDPR-запрос на удаление моих персональных данных с career.habr.com, то вы должны удалить их и передать мой GDPR-запрос остальным своим партнёрам, которым вы передали мои персональные данные. Но вы не сможете этого сделать потому что, вы уже не контролируете данные, ведь произошла «утечка».
                                                                      Тогда вам останется только одно — заплатить штраф. И возможно тогда вы поменяете ваши дефолтные настройки приватности, ну или опять заплатите штраф.
                                                                      На случай если вы думаете, что законы работают только против очень крупнейших сайтов мира:
                                                                      За период действия GDPR по данным на январь 2020 года зафиксировано регуляторами 160 тысяч нарушений.

                                                                      Что-то мне подсказывает, что хабр — достаточно крупный, чтобы оказаться в этом списке.

                                                                      Итак, вы что-то будет делать с утечкой персональных данных? Оповестите пользователей, что их персональные данные утекли? Поменяете дефолтные настройки? Примете меры, чтобы такого не повторилось в будщем?

                                                                      Ключевые отличия GDPR от 152 ФЗ:
                                                                        0
                                                                        Хм а в чём проблема, вроде как всё честно, выполняется один из пунктов GDRP(Обработка имеет жизненно важные интересы для предоставившего данные) при таком сборе данных и все формальности соблюдены. В крайнем случае делаем обязательство в виде контракта. Если явных отношений с обработчиком нет то и претензии безосновательны.
                                                                        Ну это я так вижу что из себя предоставляет GDRP(пока нет явного API к данным), буду рад любым дополнениям и исправлением в логике.
                                                                        Чисто формально это не является утечкой.
                                                                          0
                                                                          Согласно GDPR пользователь владеет своими персональными данными (ПД), а сервис получает их только во временное пользование.
                                                                          Пользователь в любой момент имеет право сделать запрос в сервис для удаления своих ПД и сервис должен их удалить, а также проследить, что все его партнёры также удалили. Для этого сервис имеет право делиться только с теми представителями третьей стороны, которые подтвердили, что они работают согласно GDPR.
                                                                          Приведу, пару примеров:
                                                                          1. фейсбук передаёт ПД компании, которая соответствует GDPR. пользователь запрашивает удаление информации, фейсбук удаляет сам и передаёт реквест своим партнёрам — всё ок.
                                                                          2. фейсбук передаёт ПД компании, которая не соответствует GDPR и находится в канаде. пользователь запрашивает удаление информации, фейсбук удаляет, но третья сторона, которая также владеет ПД пользователя отказывается.
                                                                          фейсбук получает штраф, потому что он не имел права передавать данные пользователя третьей стороне, которые не работает по GDPR. также фейсбук должен оповестить пользователей, что их ПД теперь за пределами GDPR, т.е. произошла «утечка».

                                                                          Хабр не только не соответствует GDPR, но что гораздо хуже слишком легкомысленно относится к ПД, предоставляя к ним доступ по дефолту и ничего не видит в этом плохого.

                                                                          Что сейчас происходит в европе: если вы передаёте ПД какой-нибудь рекламной сети, рекрутинговому агентству, скидочной организации и прочим партнёрам, то вы предварительно запрашиваете от них документ, что они подтверждают работу с ПД согласно GDPR. Если они не подтверждают, то ищете другого партнёра. Если они подтверждают, но по факту по GDPR не работают, тогда уже проблемы у них, а не у вас.
                                                                            +1
                                                                            Я согласен с вами, в части работы habr API на career.habr.com, среди требований для него сейчас нет GDRP хотя это действительно прямой сервис предоставления данных.

                                                                            Но вот в плане работы парсеров ситуация иная ибо пользователь хоть и соглашается с требования сервиса, но не имеет прямого отношения к GDRP, так как, если мой парсер(я пишу их но не для европы, да и не для персональных данных) формально если я получаю и агрегирую пользовательские данные, то я делаю это с 200-400 аккаунтов, и формально нет никаких претензий к сервису, так как каждый из зарегистрированных аккаунтов не является партнёром. Как следствие компания пользующаяся парсером тоже не является партнёром, но формально является агрегатом персональных данных(без явного источника их получения) понятия public domain не существует в разрезе GDRP, что скорее есть просто ошибка.

                                                                            Как быть в данном случае? Мы не имеем реального сервиса который имеет возможность сделать явный запрос на удаление.
                                                                          +1
                                                                          Мне спама и так хватает

                                                                          То есть волшебный GDPR от спама вас не спас?
                                                                          Как же так, ведь европопулисты так старались!?

                                                                        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                        Самое читаемое