Pull to refresh

Google сохраняет в кэше ссылки на «удаленные» и скрытые фото пользователей ВКонтакте

Information Security
Здравствуй, %username%!

Череда утечек персональных данных сподвигла меня к более подробному изучению этого вопроса.

Если с robots.txt всё понятно, то как же быть с секретными GET параметрами? Холиварящие в комментариях разделились на две группы: одни утверждают, что в GET никогда и ни при каких обстоятельствах нельзя передавать конфиденциальных данных, другие, что поисковики не должны индексировать ссылки, полученные от баров и систем статистики. Думаю, что правы и те, и те, однако, существует еще один вариант: прямая ссылка была, потом исчезла. Должна ли страница удаляться из индекса? Если страница существует — да, если не существует — нет. Ответ очевиден, но не для всех российских вебмастеров.

Вспомним этот замечательный пост. Думаю, вы уже поняли к чему я веду. Вконтакте при удалении анкеты, не удаляет страницы с альбомами пользователей, а так же сами фотографии пользователей. Очевидно, что когда аккаунты были доступны, ссылки на их альбомы были доступны для индексации.

Идем в поиск по картинкам Гугла:



Из найденных результатов большую часть составляют фото из групп или открытых анкет, однако если немного изменить запрос, мы отсеем лишнее и найдем то, что нам нужно:



Кликаем на фото:



По нижней ссылке гугл отдаст прямую ссылку на картинку, по верхней попадаем туда, куда не должны:



Ссылки на альбомы с фото в оригинальном размере и комментарии к ним. Сама анкета «DELETED», понятное дело, отдает ошибку: «Страница удалена, либо еще не создана.»

Страницу с альбомами из индекса Гугл и не должен удалять — она существует, Гугл честно перешел на нее по ссылке с аккаунта, когда его еще не «удалили». Разработчики вконтакте этого не учли, ограничившись при удалении анкеты, запретом доступа к главной странице этой анкеты.

Поисковый запрос можно модифицировать по-другому, получив на выходе ссылки на «удаленные» фото или фото из скрытых альбомов:

site:vkontakte.ru Имя

Вот одна из найденных таким образом картинок в полном размере:



По ссылке «Источник картинки» в Гугле, получим лишь ошибку — «Неизвестная ошибка». Возьмем айдишник пользователя из урла картинки и перейдем на страницу анкеты:



Анкета существует, но найденной фотки нет ни в альбомах (включая фотографии со страницы), ни на стене, ни в записях, ни где-либо еще. Найденное фото было либо «удалено», либо скрыто от посторонних глаз. Что не помешало нам найти его с помощью поиска.

Надеюсь, программисты из ВКонтакте прочитают этот пост. Если пользователь удаляет фото, его надо удалять, друзья. Относитесь к людям по-человечески.

Upd: Страницы с альбомами удаленных пользователей закрыли*. Well Done, Вконтакте! Осталось прикрыть прямые ссылки на «удаленные» картинки.

*за сообщение об этом спасибо Santiago26
Tags:вконтактев контактепоиск по картинкамgoogleприватностьперсональные данныеутечка данных
Hubs: Information Security
Total votes 220: ↑196 and ↓24 +172
Views193.6K

Popular right now

Security engineer
from 150,000 to 300,000 ₽PleskНовосибирскRemote job
Product-manager
from 200,000 ₽ПризываНетМосква
Эксперт по построению DWH
from 92,000 ₽ТатнефтьКазаньRemote job
Frontend Разработчик (Vue)
from 120,000 ₽StroybotRemote job
Стажер IT рекрутер
from 40,000 ₽IT and DigitalRemote job

Top of the last 24 hours