Пользователь
0,0
рейтинг
9 октября 2015 в 16:22

Разработка → Утечка реальных ФИО пользователей через Кинопоиск.ру

8 октября 2015 года Яндекс «перезапустил» купленный два года назад сайт Кинопоиск.ру. Судя по всему, это крупная неудача Яндекса. Число критических сообщений от пользователей старого Кинопоиска растёт как лавина.

Новый Кинопоиск не имеет никаких очевидных преимуществ перед старым, в то время как минусов масса: исчез былой функционал, позволявший сортировать информацию по многим параметрам, новости и полезная критика на фильмы куда-то задвинута, англоязычные названия фильмов теперь не на виду, интерфейс убогий и недружественный, всё тормозит.

Но хуже то, что теперь необходимо привязывать аккаунты бывшего Кинопоиска к аккаунтам Яндекса. На открытых персональных страницах пользователей выводятся имена аккаунтов Яндекса, а над ними — вот те привет! — ФИО, указанные в «паспортах» Яндекса, огромная масса которых является вполне себе не вымышленными, конфиденциальными данными.



Разумеется, согласия на вывод реальных ФИО в общий доступ никто не спрашивает ни со стороны Кинопоиска, ни со стороны Яндекса.

Теперь перебором по ID пользователей Кинопоиска можно собрать базу данных, состоящую из реальных ФИО пользователей и имен аккаунтов Яндекса, они же почта, Яндекс.Деньги и прочие сервисы.

Через Гугл ищутся и деанонимируются ники, вроде Mickey Freak, или наоборот по реальным ФИО находится связка с ником вроде Mickey Freak:



Сообщение в службу поддержки Кинопоиска отправлено несколько часов назад.
Lotos @Lotos
карма
8,0
рейтинг 0,0
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Спецпроект

Самое читаемое Разработка

Комментарии (86)

  • +1
    Теперь перебором по ID пользователей Кинопоиска можно собрать базу данных, состоящую из реальных ФИО пользователей и имен аккаунтов Яндекса, они же почта, Яндекс.Деньги и прочие сервисы.


    Инкрементальные ID'шники? 0_o
    • +38
      Божечки! У vk.com еще большие проблемы?
      • +3
        Отвечу притчей.

        Прича о том как опер Гоблин (Пучков) сайт вКонтакте своему пожилому сослуживцу показывал
        Пригласил как-то раз Гоблин своего друга к себе домой в гости. Друг был на пенсии, работал опером. Возраст друга сильно за 60 был тогда.
        И вот этому дедушке Димитрий Пучков показал сайт вКонтакте.
        Товарищ смотрел и молчал, смотрел и молчал…

        Когда говорить уже было не о чем, повисло минутное молчание…

        И тогда дедушка спросил:
        — Гм… да… Дим, у меня к тебе только один вопрос. Это они что ли САМИ о себе все рассказывают???

        • –1
          мир должен быть свободен и открыть, гоблины и их сослуживцы получать по яйцам.

          пока что происходит в точности всё наоборот.
  • +1
    Разумеется, согласия на вывод реальных ФИО в общий доступ никто не спрашивает
    Сомневаюсь, что ФИО — персональные данные. ФИО нельзя связать с конкретным человеком, может быть много Пупкиных Иванов Васильевичей. Но даже если я ошибаюсь, предполагаю, что при создании Яндекс.Паспортов будет галочка согласия на обработку данных.
    • +15
      А Кужугетов Нурсултановичей Шипсаруевых тоже много? Где грань между Ивановом Иваном Ивановичем и Кужугетом Нурсултановичем Шипсаруевым?

      ФЗ от 27 июля 2006 года № 152:
      Статья 3. Основные понятия, используемые в настоящем Федеральном законе

      В целях настоящего Федерального закона используются следующие основные понятия:

      1) персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

      (...)


      Поэтому если ФИО не вымышленные — это персональные данные, с юридической точки зрения…
      • –1
        Ой, тут если копнуть глубже, оказывается целый омут. Зря я это затеял :)

        Нашёл методичку РосКомПозора, по которой ФИО можно считать обезличенными персональными данными. Что это значит — судить уже не берусь.
        • +4
          Тут имеем ФИО и ник яндекс почты. На деле этого достаточно, чтобы нагуглить профиль ВК, ФБ и т.п и однозначно определить человека.
          • 0
            Профили соц сетей тоже не персональные данные.
            • +1
              Ладно, опустим персональные данные. Парсим профили, рассылаем персональный спам по яндекс ящикам с ФИО.
              • +1
                В платежной системе Skrill первый фактор защиты от фишинговых писем — саппорт обращается только по имени и фамилии, в то время как злоумышленники пишут просто: «Дорогой пользователь!». А это может обернуться реальными финансовыми потерями.
      • +1
        Это же к 4 классу ИСПДн относится (если вы упомянули ФЗ №152) скорей всего, где данные общедоступны/обезличенны.
      • +3
        1) персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

        Пол, цвет волос… да даже выдуманный вами ник — относятся к вам прямо или косвенно. Если человек указал о себе любую информацию, например, что любит какой-то фильм — это тоже персональные данные?
        • +1
          nelson, согласен с вами, что много юридических глупостей люди придумывают… И размытых неясных терминов…

          Но все же ФИО — это не ник и не предпочтения того или иного фильма.
          Если и ФИО не персональные данные, тогда ума не могу приложить, что же является персональными данными.

          Только номер паспорта, что ли?
          • 0
            В законе прописано все.
          • –3
            много юридических глупостей люди придумывают
            Надеюсь, в обществе будущего к написанию формулировок законов будут допускать только программистов (лучших из них). Тогда точно разночтений не будет!
    • +4
      У меня например ФИ уникальны даже О не надо :)
      • –4
        А если бы вы были сиротой, то достаточно было бы Ф. ;))
    • 0
      Обработку или публикацию?
    • 0
      Зависит от распространенности того и другого.
      Я сомневаюсь, что мир коптит несколько Васисуалиев Акакиевичей Даздрапермидзе.

      Но в целом — недурно было бы оповещать людей на тему «а теперь мы светим ваши данные вот таким вот образом, вы не против?»
  • +19
    Очень ультимативно «для дальнейшей работы требуется связать аккаунт с аккаунтом яндекса» и выбрасывает на главную, если не хочешь) Ни здрасте, ни досвиданья, ни извините, ни «мы сделали лучше для вас»… Пока кинопоиск, ты был очень хорошим сервисом!
    • +1
      Согласен. Текущий внешний вид оставляет желать лучшего…
      • +4
        Дизайн ужасен, но ко всему можно привыкнуть. Сделали апгрейд по-русски, поменяли по факту ВСЁ (ох уж этот русский нигилизм) и навязывают безаппеляционно новые правила. При этом пропала «человечность» на сайте, чтоли. Теперь только ультимативные кроткие указания, никаких спасибо, извините, думаем о вас. Короче, добро пожаловать в совок!
        P.S. У них в правилах кинопоиска стояло, что удалить аккаунт можно зарегистрировавшись. Так теперь я даже не могу удалить себя, не связав свой аккаунт с яндекс аккаунтом.
    • 0
      В этих случаях исходники предыдущей версии и базой обычно «сливаются куда-то», переделывается дизайн, чуть-чуть, и старый проект запускается под новым адресом.
  • –8
    А в чем проблема-то, это же Кинопоиск, а не Ashley Madison?
  • 0
    Забавно но количество неадекватных (с использованием обсценной лексики и воплей типа «горите в аду») твитов за старый кинопоиск примерно на порядок больше чем за новый. К чему бы это?
    • +6
      Может потому что положительных мало в принципе?
      Мне новое по-душе, но новое в рамках эволюционного развития: с переходными периодами с бэкапами, с постепенным преобразованием лэйаута, информации. Ведь это и для программистов проще: есть время подумать, выявить косяки, набить опыт в новой сфере. Поэтому я в чем то матерящихся поддерживаю.
    • –1
      Ну вот почему у меня плюсов к комментариям на хабре гораздо больше, чем минусов, но «карма» у меня -5,0? Потому что такие вот люди. Даже тут.
      • +5
        Общее правило: карма набирается статьями и спускается постами.
        • –23
          Обратите внимание, она уже -6,0. В семье не без урода ¯\_(ツ)_/¯
          • +8
            Нытьё не любят.
            • –11
              Вы ошибаетесь, если считаете, что я ныл. Все это мне по барабану. Я просто привел пример, который первый пришел на ум. Короче говоря, вот вам и -12,0. Наглядный пример. А теперь попробуйте с той же легкостью получить хоть один плюсик.
              • +7
                Как в жизни: репутация (и её суррогат — карма) зарабатывается всю жизнь, а портится в один миг (с).
              • +3
                Вам всего-то нужно написать хорошую статью. Советую это сделать побыстрее, кстати, а то из глубоких минусов даже «рикавери моде» не вытащит, а ограничения на комментирование вам вряд ли понравятся.
                • 0
                  С таким подходом мне, например, уже не хочется ничего писать на Хабр.
              • –5
                это вы ошибаетесь, что не ныли. Сообществу виднее. В доказательство -16.
              • +26
                Ах, почему же у меня маленькая карма?

                Ой, да она уменьшается!

                Вы ошибаетесь, все это мне по барабану.

                «Три дня я гналась за вами, чтобы рассказать, как вы мне безразличны.»
                • –10
                  >Ах, почему же у меня маленькая карма?
                  Еще раз Вам лично повторю, раз Вы тут самый умный: я тут не первый день и карма у меня тут такая очень давно. И была такой еще до «амнистии». И мне ну насрать на нее. Ну не буду я комментировать не чаще, чем раз в час, ну и ладно. Хуже от этого не столько мне, сколько тем, кому моя экспертиза могла бы пригодиться.
                  Я уже давно все понял и смирился.
                  • +5
                    Ну а зачем вы пишите комментарии, которые усиливают сливание кармы…
                    Я не думаю что вам на карму плевать, иначе вы бы не писали про нее. Тем кому на нее плевать — про нее не пишут. :)
                    Я знаю, потому что у меня слита карма на ГТ и когда мне ее сливали за справедливые, на мой взгляд, комментарии — я возмущался примерно как вы. Потому что мне не плевать. :)
                    • –7
                      Я уже проходил когда-то это, и тогда мне было не плевать, да, было как у вас. Но в этот раз, поверьте, плевать. Я понимаю, что каждый мой следующий комментарий будет прибавлять мне минусов, но, как видите, я их продолжаю оставлять :)
                      • +7
                        Вы продолжаете писать, потому что обижены/расстроены, а терять уже нечего.
                        Это тоже понятно и знакомо.
            • НЛО прилетело и опубликовало эту надпись здесь
              • +2
                Обычно это вопрос общей адекватности.

                Если человек написал какую-нибудь глупость — обычно ограничивается минусами за статью/комментарий. Далее события имеют свойство развиваться двумя путями:
                — человек осознает, где он неправ/неправильно понят и т. п., и исправляется/начинает дискуссию по существу;
                — человек начинает рассказывать, какие все вокруг бяки/его затыкают/не признают его гений/whatever.

                Я ставлю минус в карму за второй вариант, который я квалифицирую как нытье. Причем, довольно часто, заходя в профиль, чтобы поставить плюс или минус вижу ту оценку, которую и собирался поставить, что говорит о более-менее нормальной устойчивости этого подхода. И, если, изменения с минуса на плюс бывают ещё относительно часто, то наоборот — довольно редко.
  • 0
    ойойой, как нехорошо. Что-то дало сообщение в службу поддержки Кинопоиска?
  • 0
    Тоже вчера заметил, хотел даже спарсить базу, но спать уже хотелось и забил (но пофиксил свой профайл).
  • 0
    А с обращениями в тех поддержку там совсем беда, я о мелком, но не приятном, баге в приложении их под android сообщил ещё в начале года, но воз и ныне там. Хоть и ответили шаблонно — исправим в ближайшее время.
  • +3
    Благодаря фриланс.сру и относительно уникальному нику, я моментально деанонимизируюсь хоть по ФИО, хоть по нику, хоть по телефону, с вытаскиванием абсолютно всей остальной информации через гугл в один клик. Так что с некоторых пор вопрос анонимности меня не волнует. Уже не закопать. :-(
  • +24
    А у меня вот аккаунта на кинопоиске никогда не было. Тут вот вошел на него из любопытства, так мне его (меня не спрашивая!) создали, сразу привязали к яндекс-аккануту, и теперь еще светят ФИО и возрастом. С одной стороны, вроде не жалко, с другой стороны, яндекс, вы там совсем охренели?
    • +2
      Ух-ты и у меня аналогично создался аккаунт, хотя я его завел только ради яндекс музыки
      *me проверяет не установился ли яндекс бар*
  • +6
    Да уж, новый кинопоиск — это что-то невероятное. Так испортить такой хороший сервис — это надо было умудриться. А уж с принудительной привязкой аккаунта — это по-моему вообще где-то за гранью.

    На кинопоиске мне, например, очень удобно оставаться залогиненным — посмотрел фильм, зашёл, отметил. А оставаться залогиненным в Яндексе, наоборот, совсем неудобно, те же Яндекс.Деньги на этом же аккаунте находятся. А без привязки аккаунта Яндекса меня к моим же данным на Кинопоиске не пускают.
    • 0
      В яндекс.деньгах подтверждение через SMS для всех важных операций.
      • +2
        Да, конечно, но оставлять открытым баланс аккаунта и историю операций — тоже мало приятного.

        Вряд ли кто-то оставляет перманентно открытым интернет-банкинг, хотя там тоже есть подтверждение операций.
  • +4
    Это ошибка, спасибо, что обратили внимание. В ближайшее время уже исправим. К слову, про КиноПоиск. Мы просим прощения у всех, у кого возникли трудности с обновленным сайтом, и, как только это станет возможным технически, откроем для пользователей версию в прежнем дизайне на отдельном домене. Эта версия будет работать до тех пор, пока мы не убедимся, что подготовили все условия для комфортного переезда всех наших пользователей. В это же время команда КиноПоиска продолжает собирать отзывы.
    • +11
      Как только это станет возможным технически, откроем для пользователей версию в прежнем дизайне на отдельном домене.

      Всё-таки такой компании как яндекс стоило подумать об этом заранее, а не выкатывать хреновый продукт, даже не дав пользователям выбора.

      В данном случае, мне куда приятнее вспоминается то как сделали это mail.ru — постепенно обновляя интерфейс и предлагая перейти пользователям на него, при этом прислушиваясь к ним и внося изменения.
      • 0
        Яндекс так с почтой делает. Многие до сих пор сидят в старой почте, а некоторые уже на SPA переползли.
        • 0
          Да, вы абсолютно правы. Вот я буквально вчера посмотрел видео о том, как яндекс «авто» перевозил на nodejs и они просто сделали поддомен для новой версии, постепенно перевозя всё. Теперь, вспомнив как яндекс меняет другие продукты, я не могу понять почему они там облажались с кинопоиском…
          • 0
            Этот вопрос нужно задавать проджект и продакт-менеджерам… Если честно, мне тоже сложно понять.
    • +2
      Тогда для залогиненых пользователей сделайте плашечку на видном месте, что просите прощения за причиненные неудобства, и что все будет потом хорошо.
      • +5
        Сделаем, да.
    • +6
      Сделайте возможность заходить под старым аккаунтом кинопоиска без привязки к яндекс аккаунту.
      • +1
        Действительно, это очень важное замечание. Всё-таки яндекс аккаунт — слишком большой монстр, с кууууучей сервисов, привязанных к нему, и данных, которые не хотелось бы лишний раз светить. Лично я из ваших сервисов использую почту и деньги. И каждый раз я делаю логин-дела-логаут.
        На таком сайте, как кинопоиск, мне хотелось бы наоборот, как можно реже вводить данные для входа. У меня там ничего конфиденциального нет, да и не может быть.
    • +1
      Шут с ним с ущербным дизайном, но хоть функционал оставьте. Я посмотрел в свой профиль и нашёл там только бездонный список с большими красочными иконками и оценками где-то там в углу. Вы убили 90% функционала, ничего не предоставив взамен.

      Не хотите портить минималистичный дизайн — так хоть оставьте всплывающую менюшку где-нибудь в углу, чтобы сайтом можно было хоть как-то пользоваться. Вон, в гугле опции поиска попрятали, но они в большинстве своём всё ещё есть.

      Как с этой проблемой поможет временная версия на отдельном домене? Нужен ведь не скин на пару месяцев, а функционал.

      Короче, ни в какие ворота.
      • +6
        Кстати да, этот ужасный infinite scroll повсюду! Теперь я должен скролить действительно бесконечно, чтобы найти что-то в списке, вместо привычного постраничного перехода (1, 2, 3...). Зачем эта «красота» в ущерб функциональности — не понятно. Как кто-то говорил уже на хабре — моча на белом снегу.
        • +1
          этот ужасный infinite scroll повсюду

          Так они и в почте просрали страничную навигацию в пользу дебильных «показать ещё» из социалочек.
    • +7
      вы просто молодцы. мало того что мои пароли к кинопоиску перестали подходить, так еще и при восстановлении пароля на почту приходит страница 301 moved permanently. отличные у вас QA. такое прошляпить это надо быть просто мега спецами. а куда вы дели все мои фильмы с кинопоиска? я туда добавил то что я буду смотреть в будущем. забота о пользователи от яндекса? пффф, угробим всю базу, зачем пользователям то что они старательно выбирали, чай не ленивые, еще раз сделают
    • 0
      Где можно оставить отзыв?
    • +1
      >Эта версия будет работать до тех пор, пока мы не убедимся, что подготовили все условия для комфортного переезда всех наших пользователей

      Было бы совсем замечательно если бы вы так поступили с самого начала, а новую версию запустили на отдельном домене. Как собственно и поступают все остальные компании.
      • 0
        Именно это предложение больше всего и поразило. Все крупные сервисы, как правило, в начале вводят в эксплуатацию beta.example.com и только после пары месяцев сбора статистики, A-B тестов и прочего, выкладывают наконец все на основной домен. А тут наоборот. Странно.
    • 0
      И обязательно сделайте большую кнопку «удалить автоматически созданный аккаунт на базе яндексового». С полным удалением.
  • +7
    Из тех, кто регистрируется на яндексе, многие делают это для того, чтобы пользоваться сервисом Яндекс Деньги. А там требуют паспортные данные, заверенные нотариусом. Так, что, помимо василиев пупкиных там реально много верифицированных людей.
    • +4
      1. Заверение нотариусом нужно только для очень больших или частых переводов. Но даже если не заверять данные указывать нужно и фиг знает насколько глубоко их проверяют, поэтому будем считать что тут вы правы.
      2. Заходите в паспорт, там ссылка «Изменить имя на Яндексе» — собственно, выбор показывать псевдоним (по адресу почты), либо реальные фамилию и имя, либо имя. либо фамилию. Судя по порядку вывода, по-умолчанию там псевдоним. Но лучше бы выбирать на каком ресурсе какими данными светить.
      • 0
        А также была практика внезапной блокировки акка с последующей разблокировкой после верификации (приездом в офис или заявление с заверением подписи у нотариуса).
      • 0
        самый обычный — верифицированный аккаунт, данные подтверждаются переводом в Евросети на 50 рублей с показом паспорта сотрудникам этой Евросети. Натариуса не приходилось использовать, но верифицированные паспортом, вполне себе настоящие и проверенные имена.
  • +4
    Уже пошутили про астрологов и неделю кинопоиска на хабре?
  • 0
    Я думаю, что совсем уж откровенные ляпы Яндекс закроет, причём довольно скоро. Тут вопрос в другом: если вы когда-нибудь решитесь, захотите и сможете продать свой сервис Яндексу или другому гиганту, старайтесь обезопасить своих пользователей от подобных историй.
    • +1
      Как? :)

      Тут, знаете, или деньги, или сайт…
  • +1
    Добавьте https чтоли, терять то вам уже нечего.
  • +14
    Зайдите в переводчик яндекса и попробуйте перевести «IMDB» (в кавычках) на русский. Красота какая.
    • 0
      Хех. «Кинопоиска, нащяльника!». Становится понятно, кто делал редизайн.
    • +1
      Года три назад «skype partners» он переводил как «нищеброды нишеброд».
      Защита роботов с пользовательским обучением как была решетом, так им и остаётся.
  • +2
    Не ожидал от Яндекса такого обновления сайта kinopoisk.ru. Сайт стал просто ужасен.
  • +1
    Самое грустно, что старую версию все-равно закрою, а значит «старые» данные о рейтнгах фильмах, которые копились больше 10 лет пропадут.
    В новой версии кинопоиска алгоритм расчета рейтинга судя по всему совсем другой, с учетом монетизации. Персональные рекомендации тоже стали хуже просто в разы. И вряд ли это будет исправлено в новой версии КП.

    UPD: О, а вот и старую версию КП вернули.
    • 0
      «Яндекс» вернул старый «Кинопоиск»
    • 0
      Для меня рекомендации не могли стать хуже, ведь старый КП не может мне ничего предложить, больно алгоритм у них строгий был
      • 0
        В чем строгость?
        Естественно, что если у Вас там проставлено 5 оценок, то рекомендаций ждать не стоит, а если оценок хотя бы пару сотен, то сервис выдает отличные рекомендации.
        • +1
          У меня 1300+ оценок, и он не советует ни одного фильма, иногда проскакивают только очень новые фильмы

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.