No place to hide — как сервисы агрессивного маркетинга преследуют вас

Интернет уже довольно давно стал некоторым подобием Дикого Запада: каждый отвечает сам за себя, а некоторые вещи из сумеречных областей морали, вроде сбора персональных данных, регулируются только тогда, когда это кому-то выгодно (да-да, мы все знаем, какие законы стоит вспомнить тут).

Давайте разберём это на примере одного сервиса, который для меня оказался абсолютно неизвестной областью тьмы, но существует уже с 2015-го года. Его название в статье упоминать не будем, но подобное можно без проблем нагуглить.

image

Итак, в один прекрасный день моей знакомой пришло сообщение, предлагающее ознакомиться с линейкой продуктов яхт-клуба. Формулировка «Некоторое время назад, вы были гостем нашего сайта» особенно привлекает внимание. Поэтому пора засучить рукава и окунуться в мир интернет-сталкинга и хотя бы немного разобраться в том, как же всё устроено.

В чём же суть?


Компании вроде Google и Яндекс довольно строго подходят к хранению персональных данных, позволяющие однозначно идентифицировать пользователя в сети (а именно, Google запрещает передачу подобных данных через свои сервисы Google Analytics и Google Tag Manager. Невыполнение этих правил ведёт к предупреждению или блокировке аккаунтов нарушителей), однако это справедливо не для всех. Есть некоторые общепринятые «правила» хранения данных, но подобно пиратскому кодексу — это не строгие законы, а лишь набор рекомендаций. Все мы знаем, что сталкинг — это плохо, но когда за подобные вещи неплохо платят, то у некоторых возникает повод если не сразу заняться этим, то как минимум немного призадуматься.

Если взглянуть на sources злополучного сайта, то можно обнаружить интересный набор скриптов сервиса очень подозрительного сервиса (легко заметить выбранный файл на скрине).

image

Окей, есть отклонение от стандартного набора из кодов Analytics и Метрики. Есть и подозреваемый!

Следующим логичным шагом будет поискать по исходникам сочетание «vk», которым могли бы обозначить участок кода, отвечающий за идентификацию пользователя на сайте. Сделаем это в файле «pixel/index.php?img=»:

image

Итак, видим, что указана некоторая ссылка на приложение VK. Будет логично предположить, что с его помощью как раз и происходит опознание профиля посетителя, если, разумеется, он был залогинен. Адрес приложения передаётся в функцию vkPr(link), её код приведён ниже:

    function vkPr(link)
    {
        var vkprimg = (window.Image ? (new Image()) : document.createElement('img'));
        vkprimg.onload = function()
        {
            setCookiePr('XFZDGF1FQEpQVV5cSh1DRw==', link);
        }
        vkprimg.onerror = function()
        {
        	getOther();
        }
        vkprimg.src = 'https://vk.com/login?u=2&to=aW1hZ2VzL2ljb25zL2hlYWRfaWNvbnMucG5n';
    }


Тут видим, что происходит установка пикселя и куки. Пиксель при этом логинится в аккаунт посетителя, а на этом этапе должен происходить деанон пользователя. Далее, исследуем файл из папки callback и найдём в нём обращение к vk_id и установку кук со страшными префиксами «hunter». Набор данных весьма богат: от номера телефона до email и идентификатора VK.

Охота началась:

image

Этот файл хранит в себе ядро трекера, с помощью которого данные передаются на сервер сервиса и дальнейшие действия с ними уже неизвестны

image

Если проследовать по ссылке приложения, которое на момент публикации статьи уже заблокировано, то можно обнаружить интересное приложение «Привет», у которого есть доступ к вашим личным данным. Оно не требует установки в ваш аккаунт.

image

В нём указана страница разработчика приложения и было бы интересно перейти на неё тоже.

image

Тут мы видим пустой аккаунт, который, очевидно, создан как сервисный и заполнен ровно настолько, чтобы не привлекать внимания. Последний вход был совершён в 21:17, что заставляет задуматься об очень долгом рабочем дне в компании, создавшей это приложение.

Не имея возможности отследить конкретные методы идентификации пользователей, можно лишь предположить, что с помощью основного функционала приложений VK происходит получение ссылки на пользователя и передача её боту, который пишет посетителю сайта сообщение довольно «крипового» формата «я знаю, что ты делал этим вечером». В папке widgets есть обращение к стороннему сервису, через которое, собственно, и идёт всё общение:

image

Интересно, что изначально были явно указаны варианты диалогов с ботом, но позже их удалили Вот вырезка из объекта, с вариантами разговора:

{
"exitWeTreasure": {
"head-name": "— #{name}, подождите уходить,",
"head": "— Подождите уходить,",
"text-free": "для вас есть персональное предложение! Давайте мы перезвоним и обсудим цену для вас?",
"text_worktime": "для вас есть персональное предложение! Давайте через <br/>#{countdown} ((секунду|секунды|секунд)):countdown обсудим цену для вас?",
"text_off": "для вас есть персональное предложение! Уточните, когда вам перезвонить.",
"action_callLater": "Выбрать время звонка",
"action_call": "ОК, созвонимся!",
"action_text": "Написать письмо"
},
"didCallSucceed": {
"head-name": "— #{name},",
"head": "— Скажите,",
"text-name": "скажите, вам удалось начать разговор с менеджером?",
"text": "вам удалось начать разговор с менеджером?",
"action_yes": "Да",
"action_no": "Нет"
}
}


Выглядит знакомо, не так ли? Особенно мило выглядит часть кода, которая отвечает за общение с детьми, так как им предлагают позвонить родителям (эти выводы сделаны исходя из названий методов, к которым обращаются).

image

На этом часть, посвящённая непосредственно коду заканчивается. Далее, просто поищем в Гугле URL, с которого подгружались js-файлы.

Кто же меня преследует?


Это было просто и первый же результат приводит на сервис, который прямо сообщает о том, что занимается поиском аккаунтов Вк тех, кто посетил сайт:

image

Тут на оригинальном изображении (пришлось замазать названия этих сервисов, чтобы никому не показалось, что это такой оригинальный способ продвижения) уже видим знакомое сочетание слов с наличием vk, а в заголовке название компании-разработчика охотника за головами трекера.
Дальнейшие поиски привели к тому, что выяснилось, что эта компания существует с 2015-го года и предоставляет услуги множеству клиентов, среди которых есть и весьма известные с хорошей репутацией: от банков, до сотовых операторов. За свою долгую историю интернет-сёрфинга в неанонимном режиме, мне ни разу не писали боты с предложениями ознакомиться с каталогом товаров, так что это выглядит довольно сомнительно, но я могу и ошибаться.

Что же дальше?


На самом деле, этот сервис вполне можно использовать для шантажа пользователей. Стоит его разместить, например, на порносайте и в один неудачный день бот может написать кому-то сообщение счастья «я знаю, твои любимые ролики и расскажу о них всем». Сомнительное удовольствие, кем бы вы ни были. Также, возможно применить это с целью отследить частых посетителей какого-нибудь неугодного издания и использовать его, как мощный инструмент цензуры.

В «Политике конфиденциальности Вконтакте» в пункте 5.1.4 указано, что:
Персональные данные Пользователей не передаются каким-либо третьим лицам, за исключением случаев, прямо предусмотренных настоящими Правилами.

При указании пользователя или при наличии согласия пользователя возможна передача персональных данных пользователя третьим лицам-контрагентам Администрации Сайта с условием принятия такими контрагентами обязательств по обеспечению конфиденциальности полученной информации, в частности, при использовании приложений.

Приложения, используемые пользователями на Сайте, размещаются и поддерживаются третьими лицами (разработчиками), которые действуют независимо от Администрации Сайта и не выступают от имени или по поручению Администрации Сайта. Пользователи обязаны самостоятельно ознакомиться с правилами оказания услуг и политикой защиты персональных данных таких третьих лиц (разработчиков) до начала использования соответствующих приложений.

Действия таких третьих лиц (разработчиков) регулируются официальным документом Администрации Сайта Условиями размещения приложений.

То есть работа с данными осуществляется согласно правилам размещения приложений VK.
В этих же правилах в Пункте 2 говорится:
2. Работа с данными
2.1. Запрещается собирать и хранить пользовательские данные, включая идентификатор пользователя (User ID), в целях, не связанных с функционированием приложения. Запрашиваемые данные должны использоваться только в контексте приложения.
2.2. У приложений, размещенных на vk.com, должна быть политика конфиденциальности. Если ее нет, используется типовая политика конфиденциальности ВКонтакте.
2.3. Запрещается передавать любые пользовательские данные, автоматизированно полученные через API (включая User ID), сторонним сервисам (например, рекламным) как напрямую, так и через посредников.
2.4. Запрещается использовать пользовательские данные в любых рекламных объявлениях.

Отсюда видно, что нарушается пункты 2.3 и 2.4, которые сообщают о том, что пользовательские данные нельзя передавать третьим лицам. На самом деле, это очень напоминает историю с FindFace, но там есть нюанс, что FindFace не предназначен (формально) для рекламы и передачи ваших данных кому-либо другому ради прибыли. Здесь же ситуация в корне отличается.

Вместо завершения


В целом, сбор данных о пользователях сайтов не является чем-то плохим. Даже если не анонимно, то можно просто просить спросить разрешение у пользователя, можно ли его деанонимизировать. Конечно, разумно было бы просто предложить всем путешествовать по сети в анонимном режиме и не испытывать подобных проблем, но это не будет решением проблемы. Анонимные же данные позволяют получить представление о своей аудитории и более эффективно построить свой бизнес и его продвижение. И самое весёлое в этой истории то, что был явный промах мимо своей целевой аудитории, т.к. обычные студенты 20-25 лет навряд ли располагают возможностями для покупки яхты.

Также, после обращения в службу поддержки VK с сообщением о деятельности данного сервиса и вопросами об их отношении к такому поведению, данное приложение было заблокировано. Что-то мне подсказывает, что подобные приложения разрабатываются пачками с минимальными изменениями под конкретного клиента, так что одна проблема была разрешена, но глобально, к сожалению, ничего не поменялось. Возможно, они обратили внимание на деятельность компании в целом и стоит в дальнейшем ожидать каких-то перемен, но тут уж остаётся только загадывать.
Ответы службы поддержки можно увидеть ниже, они весьма минималистичны:

image

На этом я закончу свой рассказ о том, как можно найти многих из нас на просторах сети без нашего же ведома. Stay safe, stay strong.
Метки:
Поделиться публикацией
Комментарии 65
  • 0
    Не совсем понял, vk_id это идентификатор пользователя, и его может читать любое ВК приложение без разрешения пользователя?
    • 0
      vk_id в данном случае — да, идентификатор пользователя. У приложения есть доступ к данным пользователя, и, видимо, они добываются в тот момент, когда происходит обращение к vk.com/login с некоторым запросом. По крайней мере, этот момент очень бросается в глаза.
      • 0

        Может всё таки делается ещё один запрос непосредственно к приложению? Но всё равно, почему какое то левое приложение, которому явно не давали разрешения, имеет доступ к персональным данным?

    • +1
      Интернет-полиция недалекого будущего: ходишь по сети вдруг серфинг прерывается и появляется в окне браузера строгое, но справедливое лицо бота-представителя власти: "А покажите Ваш Сетевой паспорт для проверочки. И пальчик приложите, пожалуйста. Проблемки у Вас, Виталий Сергеевич. Долги по кредитам — 20 тысяч! Айяйяй, и штраф за просмотр запрещенных сайтов неоплачен. Придется временно заблокировать выход в Интернет.."
    • –4

      Хм, а кто-то из здешней публики ходит в интернет без Ghostery или его аналога? Но расследование любопытное, спасибо.

      • 0
        понимаете ли, нужно заниматься очисткой интернета от мусора, а не героически лазить на свалку в противогазе. автору респект.
        //я так смотрю, вконтакт уже и не соцсеть для общения? разрегался там 5-6 лет назад и не жалею
        • 0
          нужно заниматься очисткой интернета от мусора

          Каким образом? Лично я точно ничего изменить не смогу. Я в VK не работаю.

      • +3
        Я вижу тут дырку в vk, отвечать ок на запрос «https://vk.com/login» с «Referer» в шапке http, отличный от домейна vk.com, ну вот и результат.
        • 0
          Тут да, вопрос почти что из серии «баг или фича?». Потому что подобная механика точно работает уже 2 года как (из того, что удалось нагуглить) и, скорее всего, работала и раньше. Было бы интересно узнать что к чему.
          • 0
            Нет, баг точно. Попробовали бы они сделать такое в мичети с фейсбуком или гуглом.
            • +1
              Склоняюсь к версии, что это баг оставленный намеренно. Почему? Вероятно сделать по нормальному было сложно, *сарказм on* а ущерб небольшой, подумаешь и так публичные данные пользователей утекают, биг дил.
              • 0
                да и у фейсбука такие дыры есть… честно говоря, не помню точно как, но трекается так же без ведома пользвателя, зашедшего на сайт, под каким акком он залогинен в фб
            • 0

              Referer тут ни при чем. Проблема — в каком-то странном параметре to=aW1hZ2VzL2ljb25zL2hlYWRfaWNvbnMucG5n, который непонятно что делает.


              Официальный API предполагает показ промежуточной страницы, где у пользователя спрашивают согласен ли он передать свои данные для идентификации. Тут же этот шаг каким-то образом пропустили.

              • 0
                Проблема — в каком-то странном параметре to=aW1hZ2VzL2ljb25zL2hlYWRfaWNvbnMucG5n, который непонятно что делает.

                Это «images/icons/head_icons.png» в base64. И это не проблема, проблема что (я не проверял) вероятно разрешен логин через куки по GET запросу, ни CORS не работает, ни проверки на откуда пришел запрос нет.
                • 0

                  В таком случае это простая проверка залогинен ли пользователь, которая сама по себе ничего не делает, как уже написали ниже. Проблема не в ней, а в том коде который выполняется в случае успешной проверки.

                  • 0
                    Что это меняет? Если сайт может получить несанкционированный доступ к данным другого сайта, то у этого сайта есть дырка в безопасности. Да, дырки в безопасности есть у многих и на это можно забивать болт, пока это не становится общественным достоянием и теперь каждый 13ти летний кулхакер может в эти дырочки совать свои грязные пальчики. Более того, как правило дырки безопасности по одиночке не ходят, что подтверждает эта статья, на сколько я понимаю здесь используется, как минимум 2 уязвимости.
                    • 0

                      Это делает неправильным ваш комментарий:


                      Я вижу тут дырку в vk, отвечать ок на запрос «https://vk.com/login» с «Referer» в шапке http, отличный от домейна vk.com, ну вот и результат.

                      Дырка — в другом месте.

                      • –1
                        Комментарий правильный, это дырка, но единственная.
                        • –1
                          не единственная.
                      • 0

                        Вы так говорите, как будто юный возраст — это что-то плохое :)

                        • –1
                          а что хорошего может с вами случиться если вам всего 13 лет :)
              • 0
                https://vk.com/login?u=2&to=

                это простой способ определить залогинен пользователь или нет, а не то, что вы написали. В случае наличия сессии — редирект будет на картинку или favicon, а дальше уже идет работа с API VK
                • +2
                  Скрипт редиректит пользователя на страницу iframe приложения, ВК передает id текущего пользователя в айфрейм через параметр viewer_id, приложение его сохраняет и редиректит пользователя обратно через window.parent.location. Весь процесс занимает пару секунд. Отправлял багрепорт еще в октябре, а воз и ныне там.
                  • 0
                    интересно, что имея скрины, название сервиса нагугливается с первого запроса)
                    у них даже есть
                    ГОСУДАРСТВЕННАЯ РЕГИСТРАЦИЯ ПРОГРАММЫ ДЛЯ ЭВМ

                    со следующим описанием
                    Реферат:
                    Программа предназначена для сбора, сохранения, обработки и предоставления информации о посетителях сайта. Позволяет собирать общедоступную информацию (профиля посетителей соц. Сетей), учитывать количество посещений, запоминать источники перехода на сайт, ключевые слова, время посещения сайта, список просмотренных страниц и другую техническую и общедоступную информацию. Также программа умеет определять и оценивать вероятность совершение целевого действия конкретного посетителя на сайте. Доступ к программе осуществляется с помощью веб-интерфейса, а так же API, которое позволяет получить статистическую информацию и сохранить статус пользователя в системе.
                    • 0
                      Собственно, потому и пишу в начале статьи, что легко нагуглить :)
                      Было бы интересно разобрать всю механику подобной схемы более подробно силами сообщества, чтобы не приходилось беспокоиться вне анонимного режима о том, что кому-либо напишут/позвонят (а там ещё и номера телефонов собираются) с сомнительными целями.
                    • 0
                      Так нужно быть залогиненным в соц. сети, чтобы это сработало?
                      • 0
                        Да
                        • 0
                          Да, это ужасная дыра.
                          *сарказм*
                          • 0
                            Перед переключением вкладки социальной сети, на другой сайт, вы разлогиниваетесь? Я даже не спрашиваю, что перед закрытием вкладки соцсети вы всегда делаете логаут, конечно да.
                      • 0
                        Похожую техники использовали ребята из **трекер, после того как сайты всех их клиентов Яндекс стал понижать в выдаче за кликджекинг и в браузере предупреждать, что сайт может быть опасен они изменили тактику. При заходе на сайт происходит редирект в ВК, за вас автокликом соглашаются дать доступ приложению и редиректят обратно на сайт. Поддержка ВК дала мне ответ, что они не могут что-либо сделать, т.к. технически я разрешаю доступ и нарушения нет
                        • 0
                          Captcha спасет мир
                          • +1
                            Как это в данном случае применимо? Скорей режим инкогнито спасёт мир
                            • 0
                              Автоклик без капчи не сработает и приложение не получит разрешение…
                              • 0
                                Вы имеете в виду, что VK должен добавить капчу для подтверждения пользовательских действий? Но капча же вполне распознаётся роботами и низкооплачиваемыми фрилансерами.
                                Моё мнение, что капча это препятствие от школьников, а в случае коммерческого проекта они вполне могут заплатить спецу чтобы он написал обход капчи.
                                Наверное, решением было бы расширение в браузер или встроенный в него функционал который запрещает подобные авторедиректы и автоклики.
                                • 0
                                  И этот обход проработает сутки двое, после чего алгоритм обхода перестанет действовать. Капча это достаточно действенное средство против автоматизации. Причем бывает капча без капчи, там где не надо ничего вводить а просто передвинуть слайдер мышкой. С чем не справляется ни один бот, кроме полноценных эмуляторов движения мыши.
                                  • 0
                                    Тип капчи можно поменять за 30 минут, а вот написать новый алгоритм обхода этой капчи — это задача как минимум на несколько дней или даже недель.
                            • +2
                              Автоклик не нужен, автору приложения достаточно поставить опцию «Установка приложения — Не требуется», и оно будет запускаться автоматически без каких-либо действий со стороны юзера. Это больше вопрос к ВК, у ФБ приложения, не требующие установки, запускаются анонимно, без передачи id юзера.
                            • 0
                              Было бы интересно по методам борьбы, хотя бы временным. Например ublock спасает от такого?
                              • 0
                                Тоже интересно, поможет ли например ghostery
                              • 0
                                Америку вы не открыли. Совсем. Это уже много лет практикуют. И очень много сервисов, предоставляющих подобные услуги (предоставляют базу пользователей из соц сетей, кто был на их сайте). Но мы рады, что вы открыли для себя кликджекинг))
                                • 0

                                  Здесь, скорее всего, даже без clickjacking'а обошлось, vk сам отдаёт нужные сведения "анонимному" приложению.

                                  • 0
                                    Кстати да, т.к. за кликджекинг сайты подвергают санкциям теперь пользователю не нужно кликать, его сразу же при заходе на сайт редиректят в ВК. Даже если это выглядит сомнительно и отталкивает клиента, умельцы всё-равно получают данные вк-юзера
                                • 0
                                  Мне на почту приходили сообщения от магазинов «вы смотрели на такой-то товар».
                                  • 0
                                    Там же и fb_id, а, соответственно, данные аккаунтов фейсбука тоже как на ладони. Хотя, все таки, лучше посещать проверенные магазы.
                                    А что за сайт? На крине не увидела url.
                                    • 0
                                      Нагуглить сайт, показанный вами, не составило труда. Однако, чтоб найти на какой рекламный сервис в Фейсбуке ведет — нужен ваш! Там осуществлена возможность партнерских приложений, как в самом Фб, так и вне, ведущих на него.
                                      А вот, профили каких сайтов они собирают (ну, почти все они указаны в вашем скрине).

                                      image
                                      • 0
                                        Кстати, пару месяцев назад столкнулся с другой рекламой. Зашёл в торговый центр и, проходя мимо отдела(которые ещё обычно в проходе располагаются) различной бижутерииювелирной продукции, получил смс-уведомление такого плана — «Вам драгоценный подарок от Name&Name в ТЦ Таком-то».
                                        • –2
                                          Год назад человек был в США на конференции, где собирались крупные корпорации связанные с BigData, основной разговор о том, что делать с огромным собранным массивом данных о людях. В частности, решение — такая адресная реклама там как раз это обсуждалась — вот дошло и до нас! А ведь Фейсбук сам сливает данные, он собственно этим и живет.
                                        • 0
                                          Достала уже эта самацензура, давайте называть вещи своими именами.
                                          Конкретно описываемый сайт здесь — это http://помощьлид.рф
                                          И их десятки:
                                          https://lidx.ru/
                                          http://detectim.com/
                                          http://socgram.ru (1000 бесплатно)
                                          http://lptracker.ru
                                          • 0
                                            Поддержу, тема известная и уже давно, и поисковики с ней борятся в меру сил.
                                            • 0
                                              Боролись, когда был clickjacking — за курсором плавал невидимый iframe и первый клик ничего не делал для посетителя, а нажимал на невидимую кнопку виджета.
                                              Текущая система пользовательский опыт не особо портит, поэтому поисковые системы с ними пока не борятся.

                                              По поводу емейлов и телефонов — определяются только те, которые не защищены настройками приватности и в открытом доступе? Или что-то изменилось?
                                              • 0
                                                Насколько я знаю, конкретно с тем же LPT боролись из-за того, что он предоставлял услугу соц. фишинга, они в итоге выпустили вторую версию алгоритма, как они сами ее называют, которая теперь, как верно уже написали, просто перекидывает пользователя на страницу ВК и потом возвращает клиента обратно на сайт. За это блокировать их перестали, по крайней мере пока что, но понятное дело, такое поведение сайта вряд ли радует посетителей. По поводу данных — насколько я знаю, брали только те, что в общем доступе.

                                                А, кстати и Яндекс.Браузер какое-то время назад начал предупреждать насчет сайтов со скриптами соц. фишинга, что они опасны, так что как пользователь я лично могу им только руку пожать за такое поведение — сам LPT и ему подобные вряд ли будут использовать данные для чего-либо прям уж совсем незаконного, а вот их клиенты действительно за счет таких инструментов могут начать вдруг шантажировать своих посетителей, ну или еще что устраивать нехорошее.
                                                • 0
                                                  По поводу емейлов и телефонов — определяются только те, которые не защищены настройками приватности и в открытом доступе? Или что-то изменилось?
                                                  Как раз что-то изменилось. Определяются те, что защищены в т.ч
                                                  • 0
                                                    Говорят что используют базы партнёров, которые предоставляют им эти данные. То есть конечно не все там есть, но процент вырос.
                                                    • 0

                                                      Мммм… В том числе в разряде веб-аналитики и маяков, id вашего контейнера на Яндексе? (Не профиля, id, который у вас в паспорте). Ну или например, детектить людей по их MAC-адресам видеочипов? ;)))))) А такие есть… Хорошо. а если MAC изменился? (можно изменить ip, но не адрес чипа самостоятельно, так считают. Но вы ведь можете сменить железо, верно?). Кстати, отсюда становится ясно, зачем в регистрации компаний входит id оборудования.

                                                      • 0

                                                        image

                                                        • 0

                                                          В частности, второе — это кодеки видеокарт от майкрософт VC. а теперь узнаем каждый у себя в cmd вводим ipconfig /all и узнаем свои адреса и — сравниваем!

                                                          • 0

                                                            Нет, физический адрес там отличен, это хеш. Тем не менее..

                                                            • 0

                                                              Все. Я поняла, ребятки, что это. Очевидных нарушений нет. Это хеши, зашифрованные в Md5.
                                                              Ничего эдакого… но есть "друзья" и сервисы по… дешифровке. Воть так!


                                                              image

                                                              • 0

                                                                Немножко еще добавлю. Судя по всему, у тех, кто сидит с телефонов (вот приложение, или арбузер, я не знаю) — видны номера телефонов! Все равно, очевидные нарушения есть!

                                                      • 0
                                                        Пояснение РКН от 2015 года о законности одного из таких сервисов:
                                                        «Зарегистрировавшись в социальной сети „Вконтакте“, субъект персональных данных предоставляет доступ неограниченному кругу лиц к своим персональным данным и делает их общедоступными, из чего следует, что согласие субъекта персональных данных для обработки его общедоступных персональных не требуется.

                                                        Исходя из вышеизложенного, Вы имеете право собирать и систематизировать персональные данных посетителей социальной сети „Вконтакте“, профили которых открыты и являются публичными.»

                                                        Получаем, что разъяснение РКН противоречит политике конфиденциальности vk и условиям использования vk api, или я чего-то не понимаю?

                                                        п.с. Разрешение Роскомнадзора
                                                        • 0

                                                          Видимо, нарушение условий использования vk.api нарушает права vk, но не нарушает права пользователей.

                                                          • –1

                                                            Они н а р у ш а ю т права пользователя, поверьте мне))) Ой нарушают!

                                                            • –1

                                                              И есть еще кое-что, что, например, позволяет как минимум, извлечь последнее сообщение, например в том же ВК

                                                          • –1

                                                            Все таки, я еще раз отпишусь, чтоб уж до конца быть справедливой. Не сочтите за навязчивость, особенно касательно того, что в ответах. Id там реально можно увидеть. Особенно в группах.
                                                            Должна отдать должное, самое наидрожайшее — это статьи в менюхе (полностью авторские работы) — не видно, только адреса вики-страниц.
                                                            Скажу так, их можно выкрасть, если вместе с кодом вставить в другую группу. В двух ветках один и тот же адрес странички меню существовать одновременно не может. Менюшка перенесется. Закрывайте код и его не видно в исходнике.
                                                            Без выхода вы видите свой адрес и Ip. Да-да! Там айпишник. Хэш. C выходом детектится тоже ваш хеш ip, даже при просмотре пользователя. Второй — вероятнее все таки это хэш пароля. Проверяла свой. Если нормально запаролен, ни один сервис его точно не расшифрует. (Видели пароли банков или автогенераторов?.. Вот то же самое, умноженное количественно на двое — сервис зависнет на год)) Шучу.
                                                            Конечно, группы по платному взлому напрягают, так же можно увидеть прицепленные группы и API. Ну это так, только на своей страничке наскоро, чтоб успокоить душеньку. Спасибо за статью.
                                                            Есть ухищрения. Но такие группы и контент надо просто блокировать! Пишут приложения, плагины, скрипты..


                                                            Яндекс-маяки. Не в Вк. Пиксели. Это доступ к почте (как минимум, у кого-то может использоваться эмейл яшки). А так же id контейнера в паспорте. Т.е. все телодвижения и карта, адресс, прочее.

                                                            Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.