vkのグループ管理者は常にパブリックドメインでした

先に、私はすでに10.29.14 までVKに本当に匿名の公開者がいなかったというオタクタイムに関する1つの投稿を書きました 。 しかし、判明したように、私は日付について間違っていました。 そして彼は、匿名性の既存の問題の本質を完全に理解していませんでした。



VKontakteソーシャルネットワークのほとんどのユーザーは、グループおよび公開ページの動作の原則に精通しています。 1人の作成者、モデレーター、およびサブスクライバーがいます。 設定によっては、コミュニティフィードに自分の出版物を投稿できる機能があります。 サーバーがメッセージの投稿に参加した全員に関するデータを保存するのは論理的です。 最も長いチェーンは、2つの要素で構成されています。「offer news」ブロックにメッセージを書き込んだユーザーと、確認が配信されたモデレーターです。 これに基づいて、このデータはapiを介して取得できると想定できます。



ドキュメントに目を向けると、応答のパブリックオブジェクト（壁の投稿、写真、ドキュメントなど）に関連付けられているメソッドのほとんどがクエリの結果と2つの追加の配列を返すことが簡単にわかります（リクエスト中にextend =が指定されている場合）：

response: { items: [], profiles: [{ id: 1, first_name: 'Pavel', last_name: 'Durov', sex: 2, screen_name: 'durov', photo_50: 'http://cs629231.v...543/FfB--bOEVOY.jpg', photo_100: 'http://cs629231.v...542/fcMCbfjDsv0.jpg', online: 0 }], groups: [] }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

配列の名前により、配列の内容と用途が明確になります。 コミュニティウォールからメッセージをリクエストすると、メッセージ自体、メッセージを書いたユーザー（+モデレーター）、およびグループ自体のオブジェクトを受け取ります。 すべてが非常にシンプルで透明です。 しかし、多くのコミュニティには匿名性の概念があります。 たとえば、「匿名」とマークされた「ニュースを提供する」機能を通じて、人々が自分の人生の問題や苦労について話すグループ。 モデレーターは、投稿を公開する前に、対応するチェックボックスをオフにし、真の著者のアカウントはどこにも表示されません。 または、影にとどまり、自分の性格を明らかにしたくない広報担当者は、公開ページの設定で作成者に関するすべてのリンクとマークを削除します。



最も単純なwall.getリクエストがユーザーのリストの最初の例から人物を返すという事実に最初に出会ったとき。 これについて書きました（ヘッダー内のリンク）。 そして今、2年後、私は再び興味のないドキュメントに目を向けました。 今回は、悪意のないnewsfeed.getCommentsメソッドを見ました。 このメソッドは、現在のユーザーがコメントを残したか、通知にサブスクライブした投稿を返します（「マイニュース->コメント」セクション）。 必要な結果を受け取った後、不幸なプロファイル配列のサーバーの応答に5つのアカウントがあることに気付きました。 なぜ必要なのか、どこから来たのかはすぐにわかるはずです。 テストのために、このメソッドへのリクエストに応じて、私の市の匿名グループを取り、最後の投稿の下にコメントを残し、サーバーの応答を見ました。



これらの各ユーザーは投稿に直接関連していることが判明しました。 最初の人はニュースを公開した人、つまりモデレーター以上の権利を持つ人、2番目は「ニュースを提供した」人、もしあれば残り3人は最後にコメントした人です。 このすべてのデータがプライバシー設定によって「隠されている」グループを確認した後、すべてが確認されただけです。 それはまさにそれでした：プライバシー設定によって隠されていたすべては3回のクリックでアクセスされました。



最初にしたかったのは、この誤解をリソースのバグトラッカーに報告することでした。 マイナーなアララの欠陥に関連して現在処理されているエラーのテープに出会ったところ、「レイアウトの枠があり、余分なピクセルが2つあります」。 10分間検索した後、「エラーに関するボーイングの格納庫のサイズのセキュリティホールを報告する 」ボタンを見つけるのに絶望しました。 フォーラムのメンバーは、Webコンソールからフォームを実行することを提案しましたが、このフォームはアクセス拒否を示すデータを送信しませんでした。 特にnew.vk.comのテスト中に2〜3日間応答するので、前回のために通常のテクニカルサポートに連絡したくありませんでした。 したがって、私は、それが面白いと思った誰かに手紙を書くことに決め、それによってエラーに注意を引きました。 選択は、vc.ruで決まりました。これは、コミュニケーションの面で最も手頃な価格であるため、サイト上のすべてのボタンが適切に配置されています。 さらに、再投稿へのリンクを介してグループ管理者を見つけることができるために金銭的報酬を受け取った男に関する古い出版物が彼の記憶に浮かびました。



私は彼らからの回答を待っている間に、この方法を使用することで考えられるすべてのバリエーションを調査しました。 まだ制限があり、エントリがコミュニティの壁にあり、コメントがコミュニティで許可されている場合にのみ、これらのユーザーを認識することができました。 この制限により、私がvcの誰かに証明することができなかったのは、誰がどのグループを管理するかだけではありませんでした。 彼らは彼らのグループの管理者が誰であるか言うように頼みました、そして、彼らのコメントは無効です。 チャンネルワン、RBC、イズベスティアなど、有名なニュースコミュニティのモデレーターのリストで彼らをあふれさせ始めました。 途中で、彼は同じリンクを加入者なしで自分のグループにドロップしました。これは、通信で失われず、2人の友人全員に自慢するためです。 グループ投稿のリンクには、タグ付けされた人に通知する機能があるという事実を考慮しませんでした。 そして、言及されたモデレーターの1人は、私がこれをどのように達成したかを伝えるために私にリクエストを書いた。 私は最後に暗くなり、VCが穴を閉じるのに何らかの形で役立つことを期待していました。 vcから2時間後、彼らはVKに報告し、自分で何もしないと言った。



結論：すべての連絡先、ポートフォリオ、音楽コレクション、メモ、ブックマークを含む私のアカウントは、「永久にブロックされた」という署名で忘却に沈んでしまいました。 私のグループは削除され、レコードはこすられ、穴は大幅に閉じられ、 プロファイルには何も表示されなくなりました。 この事件で残された唯一のことは、そのようなことをだれにも報告したくないということです。