Ишимский городской суд Тюменской области потребовал удалить статью об уязвимости в системе проездных карт «Тройка», размещённую на сайте «Хабрахабр». Об этом пишет «Роскомсвобода» со ссылкой на постановление суда.
Суд посчитал, что статья пользователя сайта «Хабрахабра» Игоря Шевцова «Мосметро взломано» распространяет информацию о «возможности подделки билетов на проезд». Как говорится в материалах дела, «билет, являющийся одним из оснований для осуществления проезда, является документом, свидетельствующим о заключении официального договора между пассажиром и компанией, осуществляющей перевозку».
Таким образом, следует из постановления, билет — это официальный документ, подделка которого уголовно наказуема. Статья Шевцова о взломе проездной карты приравнивается к распространению информации о способах совершения уголовного преступления.
В мае 2016 года на «Хабрахабре» была опубликована статья, в которой разработчик исследовал защищённость системы электронного кошелька «Тройка». Он смог взломать её при помощи компьютера, смартфона на Android и NFC-чипа. В статье Шевцов детально объяснил подходы к системе и рассказал о самом простом способе взлома.
Разработчик создал приложение TroikaDumper, с помощью которого можно пользоваться уязвимостями системы карты «Тройка». Шевцов указал на способы решения проблем безопасности электронного кошелька и заявил, что взлом производился в «исключительно в ознакомительных целях», потому что подделка проездных документов уголовно наказуема. После публикации статьи пресс-служба метрополитена заявила, что устранила уязвимость.
Сейчас публикация «Мосметро взломано» недоступна на сайте «Хабрахабр», а профиль автора деактивирован. Издатель «Тематических медиа» и основатель «Хабрахабра» Денис Крючков рассказал vc.ru, что компания не будет обжаловать решение суда. «Вопрос стоит адресовать автору публикации. Мы в этой истории являемся площадкой, которая предоставляет пользователям возможность размещать контент и не несем ответственность за его содержание», — добавил он.
В марте 2017 года Ишимский городской суд потребовал от сервиса для предпринимателей «Кнопка» удалить статью в блоге, описывающую легальные способы вывода денег из ООО.
"Лучше перебдеть, чем недобдеть" сказал Денис Крючков и исхлестал себя плеткой.
Я просто процитирую кусок из письма Роскомнадзора, поскольку вы, похоже, не в курсе, какие нынче законы в стране, иначе бы не пытались острить:
В случае непринятия провайдером хостингаи (или) владельцем сайта мер по удалению
запрещенной информации и (или) ограничению
доступа к сайту в сети «Интернет», будет
принято решение о включении в единый
реестр сетевого адреса, позволяющего
идентифицировать сайт в сети «Интернет»,
содержащий информацию, распространение
которой в Российской Федерации запрещено,
а доступ к нему будет ограничен.
Но так профиль можно было бы и не деактивировать
У пользователя была указана одноразовая почта, поэтому суппорт и принял такое решение, подозревая, что этот аккаунт был создан одноразово специально для этой публикации. Нас довольно часто используют для подобных историй (вбросы, посевы), но в этом случае деактивация, наверное, была не нужна, хоть автор и не появлялся на сайте с момента размещения статьи.
Это неправда. Почта не одноразовая, а вполне себе постоянная, проверяемая и рабочая, как я уже объяснял техподдержке, но умышленно не защищена паролем. Аккаунт заблокировали либо без уведомлений, либо они были удалены из ящика. После отправки письма в техподдержку с вопросом о судьбе учетной записи с этого ящика, сотрудник техподдержки зашел в ящик и удалил все письма из него. Я несколько раз появлялся на сайте с момента публикации статьи. Посмотрите тикет LCK-DDUUT-935.
Одноразовый - устоявшееся название сервисов этого типа, которое отражено даже в слогане сервиса discard.email/ru/ и мы уже объясняли, что наши претензии к владельцу аккаунта заключаются не в частоте проверки почтового ящика, а в том, что проверять его может неограниченный круг лиц. Следовательно, любой пользователь сети Интернет может восстановить на него пароль от аккаунта на Хабре, получив, таким образом, доступ к аккаунту, и распространять с него запрещенную законом информацию. Чтобы устранить эту угрозу мы ограничили полномочия аккаунта, поскольку при проверке в почтовом ящике, к которому привязан аккаунт, были обнаружены уведомления от других сервисов, а, следовательно, есть все основания полагать что доступ к почтовому адресу имеют как минимум, модераторы электронных ресурсов, которые обнаружили "одноразовый" адрес в своей базе и решили полюбопытствовать, что это за хитрый пользователь у них зарегистрирован.
На морде сервиса discard.email помимо всего прочего четко сказано trash-mail, хоть там всё на немецком. Этого было достаточно, чтобы понять, что аккаунт зарегистрирован на одноразовую почту. Я выше отписал, что нас довольно часто используют для вбросов и посевов, поэтому и была такая реакция.
И обратите внимание, пока нас не трогал Роскомнадзор, нам было всё равно. Как только стали кошмарить, только тогда стали разбираться.
Вот и заблокировали бы доступ к данной статье исключительно для российских IP-адресов. Так делают многие ресурсы. Зачем целиком удалять аккаунт пользователя вместе со всеми его постами и комментариями?
Примеры, кроме реддита пожалуйста
ЖЖ.
Ну вы прикиньте сколько нужно сил разработать такую систему – зачем, чтобы спасти пост о котором и так все почитают?
Лично я считаю, что не следует удалять подобные посты. В последние годы на ресурсе и так количество хороших статей не слишком велико. Для Роскомнадзора было бы вполне достаточно блокировки для российских IP-адресов. Реализовать такую блокировку средствами движка - дело пары минут и нескольких строчек кода.
дело пары минут и нескольких строчек кода.
Это не так. Вы написали фигню. Пара минут - это когда говнокодишь.
1. Добавляем отдельный флаг для постов в БД.
2. Если флаг встречается (пост ограничен), проверяем IP-адрес пользователя по базе GeoIP. Если он из России - показываем заглушку.
Вот и всё. Для хорошего программиста работы на несколько минут.
Не думаю, что можно серьезно дискутировать про разработку, если человек в контексте хайлоад-проекта использует аргумент "несколько минут".
Открываем ХабраХабр, переходим в раздел "лучшее за сегодня", смотрим счётчики просмотров постов: 2.2K, 3.7K, 4.1K.
На всякий случай три важные цифры из статистики за месяц, чтобы вы понимали, что нельзя за пару минут внести важные изменения:
<img src="https://habrastorage.org/files/7fa/9f5/231/7fa9f5231606465187dc9697f38e6fc8.png"/>;
Неплохо. Но вы всё равно рассмотрите возможность ограничения доступа к статьям только для российских IP-адресов.
Уже задумались.
Потом на всякий случай заходим во вкладку за неделю и видим счетчики просмотров постов: 85,5k, 43,7k, 19,2k. Можно еще посмотреть за месяц.
Наша текущая инфраструктура пока не позволяет быстрыми силами запилить блокировку контента по географическому принципу пользователя, плюс эти угрозы от Роскомнадзора в последнее время прилетают не так часто, но мы придумали решение и пофиксим этот момент (будем вешать заглушку).
Географическому расположению пользователя, опечатался.
Денис выше написал, это действительно не так просто запилить, учитывая, что эти вещи происходят довольно редко.
Я выше отписал, что это не пользователь, а чей-то виртуал, зарегистрированный на одноразовую почту и не появлявшийся на сайте с момента размещения статьи.
Т.е. того, кто дал ему инвайт можно обвинить в сговоре? )
Или пост был в песочнице?
Пост не был в песочнице, автор зарегистрировался по приглашению от другого участника.
А на принцип слабо пойти? Или считаете народ прокси разучился использовать?