Что случилось?
На ютуб-канале overbafer1 было опубликовано видео, на котором Игорь рассказывает о баге в социальной сети «ВКонтакте».
Оказывается, что зайдя в любой диалог, и нажав на документы, можно найти файлы других пользователей и даже узнать о том, кто его отправлял. В двух словах — у каждого есть доступ ко всем документам, которые отправлялись в сети «ВКонтакте».
Какие проблемы могут возникнуть?
Ответ очевиден. Умелые руки и злые умыслы могут воспользоваться поиском и найти принадлежащие вам документы. Найдя файлы важные, интимного характера люди могут начать шатажировать, манипулировать вами.
Как допустили существование такой уязвимости?
Пока неизвестно ошибка ли администрации «ВКонтакте» или же это намеренное действо.
Законно ли это? Не должны ли мои данные быть защищены?
В Федеральном законе о персональных данных в статье 2 говорится: «Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну»
А также в статье 7: «Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом»
И конечно же, за нарушение закона предусматривается ответственность:
Статья 24. Ответственность за нарушение требований настоящего Федерального закона
1. Лица, виновные в нарушении требований настоящего Федерального закона, несут предусмотренную законодательством Российской Федерации ответственность.
(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)
(см. текст в предыдущей редакции)
2. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных настоящим Федеральным законом, а также требований к защите персональных данных, установленных в соответствии с настоящим Федеральным законом, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.
(часть 2 введена Федеральным законом от 25.07.2011 N 261-ФЗ)
Можно ли уберечь свои файлы и не допустить того, чтобы люди их отыскали?
Можно. При условии, если вы удалите из переписки файл, а после удалите его из документов. Ибо загруженное автоматически сохраняется в документах, что открывает доступ к ним.
Заключение
По сути, данный поиск работает как поисковик по всем документам. Вопрос «почему столь банальную уязвимость упустили?» наводит на страшные мысли. Но все же, ролик повествующий об этом, набрал большое количество просмотров и попал в тренды, а значит будет замечен управляющими социальной сетью. Так что в ближайшее время можно ожидать устранения проблемы.