SUP, LJPlus и пароли

Я уверен что все слышали, что в ЖЖ сейчас нечто вроде новости номер 1 — это факт несанкционированного доступа со стороны сотрудников SUP’а к одному из блогов. Даже CNews опубликовали заметку, как ведается, отразив позицию одной лишь стороны — самого SUP’а. А в сообществе sup_ru приведён их ответ полностью.

Посмотрим на ситуацию поподробнее в контексте реакции на неё со стороны СУПа.

1.  LJPlus несмотря на первональные утверждения на самом сайте о конфиденциальности использования паролей, тем не менее в какой-то момент неожиданно они стали хранится в открытом виде.  Вопрос, если вначале они хранились в зашифрованном, а потом, неожиданно, в открытом, то когда же это случилось до покупки LJPlus СУПом или после? Если, конечно, вообще можно верить этому утверждению, так как ни одного подтверждения этого нет.

2. Пароли в LJPlus как хранились так и хранятся поныне в открытом виде. Проверить это элементарно — достаточно воспользоваться функцией напоминания пароля и та пришлёт таким как он вводился.  Для уточнения — система может вернуть пароль как он был только в двух случаях — если он хранится открытым, или используется шифрование допускающее дешифровку. Впрочем второй случай используют очень редко. Правильное поведение системы — это, либо создавать произвольный пароль и отправлять новый пароль пользователю, либо давать ссылку активации для смены пароля.

Что означает хранение паролей в открытом виде я уверен Вы и так понимаете. Даже если альтруистично исходить из кристальной честности СУПа и его сотрудников, всегда есть вероятность и довольно высокая как похищения этой информации хакерами, так и утечка её изнутри.

3. Лично я нахожу позицию СУПа что использование конфиденциальных данных их сотрудниками является их внутренним вопросом принципиально неверной. Не могу на 100% утверждать что в данном случае они нарушают вступивший в силу в феврале 2007 закон о персональных данных, но безусловно они подрывают не только свою репутацию, но и Six Apart.

4. Раз уж вопрос о конфиденциальных данных, к коим можно относить и пароли. Livejournal и другие сетевые сервисы сейчас перешагнули планку когда пользователи использовали их только ради любопытства. Сейчас здесь огромное число дневников, как людей имеющих значительный вес в различных областях — ИТ, медиа-индустрия,политика, так и сообществ общение в которых сейчас для многих является потребностью и частью сетевого общения.

Де факто, по популярности и востребованности потребителями, журналы выходят на один уровень с сотовыми компаниями или крупными платёжными системами.  Не должны ли они от этого быть первыми кандидатами на проверку закона о конфиденциальности данных в таком случае?

Пару месяцев назад я делал небольшой обзор web 2.0 проектов в части приватных данных. Многие из них также были неидеальны, но, надо отдать должное что, например, BobrDobr оперативно внесли исправления.

Что же касается Livejournal’а и СУПа, то репутация в социальных сетях имеет значение. Может быть даже и решающее, а такие ошибки нельзя прятать за казёнными фразами «мы примем меры».  Единственные возможные меры тут это:

a. Публичное описание процедур защиты конфиденциальных утверждённых и принятых в СУП, включая ответственность за их нарушение.

б. Изменение всех аффилированных с LJ служб для безопасного хранения паролей (без возможности их обратного восстановления) и реорганизации процедур восстановления паролей.

Впрочем главное здесь — это даже не сам СУП. Главное это несоблюдение  приватности данных оператором социальной сети и как в этом случае трактовать его ответственность.