Как не потерять свою группу вконтакте. Пример из жизни
- вторник, 4 ноября 2014 г. в 02:10:44
http://geektimes.ru/post/240918/
Популярные группы в социальных сетях могут стать подспорьем для развития собственных проектов, а также неплохой площадкой для размещения рекламы, что делает их желанной добычей для злоумышленников. Чтобы исключить возможность захвата подобных групп, администрация крупнейшей российской социальной сети VK.com ввела разделение на Создателя и Администраторов для каждого сообщества. Группа закрепляется за создателем, что затрудняет процесс захвата, но отнюдь не делает его невозможным. Чуть ниже мы рассмотрим лазейку, позволяющую любому пользователю, обладающим правом публикации материалов и достаточным запасом терпения, получить права Создателя и полный контроль над группой методом социальной инженерии на примере реальной истории. Надеемся, что данный опыт поможет обезопасить ваши группы.
Итак, полный захват группы невозможен без захвата учетной записи ее создателя. А она уже привязывается к личности — через электронную почту, номер мобильного телефона и паспорт, однако согласно пункту 4.13.8 правил VK, «в случае обнаружения факта нарушения в Сообществе законных прав и интересов третьих лиц, действующего законодательства Российской Федерации, а также положений настоящих Правил Администрация Сайта вправе, по своему выбору, принимать следующие меры: <...> г) передать права администрирования Сообщества, а также право использования зарегистрированного поддоменного имени, законному правообладателю, в установленном порядке подтвердившему свои права на Контент Сообщества, в том числе право на объекты авторского права, смежных прав, а также право на средство индивидуализации, сходное до степени смешения с используемым в Сообществе поддоменным именем».
Таким образом, представители вконтакте могут передать вашу группу третьему лицу, если сочтут это допустимым.
В нашем примере речь идет о фан-сообществе определенного издания. Создатель группы сотрудничал с изданием по договору ГПХ, но штатным сотрудником не был. По собственной инициативе им было создано фан-сообщество, и через некоторое время оно стало достаточно популярным. Представители редакции попросили предоставить им права доступа, чтобы они также могли публиковать свои материалы в фан-сообщество, однако их конечной целью было получение полного контроля над группой. Редакция начала порционно публиковать контент из издания на протяжении года.
Ошибка номер 1. Если в вашем сообществе публикуется контент, являющийся объектом авторского права, пусть даже его публикует сам автор, согласно пункту правил 4.13.8 правил VK.com, это развязывает руки любому агенту техподдержки действовать «по своему выбору», вплоть до смены Создателя группы.
Через некоторое время администратор группы от редакции отправил запрос на получение сообществом статуса «официального» (галочка). Популярность сообщества это позволяла. Создатель группы не счел это фактом, заслуживающим внимания.
Ошибка номер 2. Комментарий от агента поддержки №524: «группа позиционирует себя как официальная (поэтому и была верифицирована), следовательно, права на нее принадлежат организации». Полагаю, комментарии излишни.
Логично, что через некоторое время Создателю пришло сообщение от агента техподдержки: «Мы оставляем группу за представителями организации и действуем в интересах участников сообщества, которые хотели бы и дальше получать информацию об издании».
Создатель потерял группу.
Итак, представители организации действовали последовательно, в то время как создатель вел себя пассивно и не реагировал на активность представителей редакции, не видя в них опасности, и не желая лишать подписчиков сообщества дополнительного контента.
Переставая полностью контролировать публикации в вашей группе, вы создаете лазейку для злоумышленников. Выбирая между защитой прав простого человека и организации, администрация Вконтакте совсем необязательно займет вашу позицию. Особенно, если у атакующей организации есть опыт подобной деятельности и грамотный юротдел.
Если ваш аккаунт был просто взломан, и кто-то смог временно вести публикации от вашего имени, то достаточно восстановить доступ к учетной записи, чтобы вернуть доступ к группе. В конце концов, вы сможете апеллировать к факту взлома и, возможно, представители социальной сети займут вашу позицию.
Но, если атакующий действовал описанным в статье методом, то шансы вернуть группу сводятся к нулю. Ключевое ограничение для атакующего — необходимость получения доступа на публикацию материалов в целевую группу, достаточный запас времени, а также отсутствие реакции создателя в момент получения группой «галочки».
Однако этого может быть и не нужно, если в группе и так публикуется материалы за авторством третьих лиц (плагиат) или изображения с логотипами существующих брендов. Группа интернет-магазина, торгующая товарами определенного бренда, вполне может быть передана этому бренду. Фан-сообщество музыкальной группы — самой музыкальной группе. И так далее. Поэтому думайте, как вы называете группу, кому вы позволяете публиковать в нее материалы, и что вы публикуете.
В то же время вы должны понимать, что администрация практически любого сайта оставляет за собой право действовать по своему усмотрению, и VK.com – не исключение. Поэтому, вкладывая силы и средства в развитие своей группы, особенно под чужим брендом, вы должны понимать, что рано или поздно можете ее потерять. Так или иначе.
Популярные группы в социальных сетях могут стать подспорьем для развития собственных проектов, а также неплохой площадкой для размещения рекламы, что делает их желанной добычей для злоумышленников. Чтобы исключить возможность захвата подобных групп, администрация крупнейшей российской социальной сети VK.com ввела разделение на Создателя и Администраторов для каждого сообщества. Группа закрепляется за создателем, что затрудняет процесс захвата, но отнюдь не делает его невозможным. Чуть ниже мы рассмотрим лазейку, позволяющую любому пользователю, обладающим правом публикации материалов и достаточным запасом терпения, получить права Создателя и полный контроль над группой методом социальной инженерии на примере реальной истории. Надеемся, что данный опыт поможет обезопасить ваши группы.
Итак, полный захват группы невозможен без захвата учетной записи ее создателя. А она уже привязывается к личности — через электронную почту, номер мобильного телефона и паспорт, однако согласно пункту 4.13.8 правил VK, «в случае обнаружения факта нарушения в Сообществе законных прав и интересов третьих лиц, действующего законодательства Российской Федерации, а также положений настоящих Правил Администрация Сайта вправе, по своему выбору, принимать следующие меры: <...> г) передать права администрирования Сообщества, а также право использования зарегистрированного поддоменного имени, законному правообладателю, в установленном порядке подтвердившему свои права на Контент Сообщества, в том числе право на объекты авторского права, смежных прав, а также право на средство индивидуализации, сходное до степени смешения с используемым в Сообществе поддоменным именем».
Таким образом, представители вконтакте могут передать вашу группу третьему лицу, если сочтут это допустимым.
В нашем примере речь идет о фан-сообществе определенного издания. Создатель группы сотрудничал с изданием по договору ГПХ, но штатным сотрудником не был. По собственной инициативе им было создано фан-сообщество, и через некоторое время оно стало достаточно популярным. Представители редакции попросили предоставить им права доступа, чтобы они также могли публиковать свои материалы в фан-сообщество, однако их конечной целью было получение полного контроля над группой. Редакция начала порционно публиковать контент из издания на протяжении года.
Ошибка номер 1. Если в вашем сообществе публикуется контент, являющийся объектом авторского права, пусть даже его публикует сам автор, согласно пункту правил 4.13.8 правил VK.com, это развязывает руки любому агенту техподдержки действовать «по своему выбору», вплоть до смены Создателя группы.
Через некоторое время администратор группы от редакции отправил запрос на получение сообществом статуса «официального» (галочка). Популярность сообщества это позволяла. Создатель группы не счел это фактом, заслуживающим внимания.
Ошибка номер 2. Комментарий от агента поддержки №524: «группа позиционирует себя как официальная (поэтому и была верифицирована), следовательно, права на нее принадлежат организации». Полагаю, комментарии излишни.
Логично, что через некоторое время Создателю пришло сообщение от агента техподдержки: «Мы оставляем группу за представителями организации и действуем в интересах участников сообщества, которые хотели бы и дальше получать информацию об издании».
Создатель потерял группу.
Итак, представители организации действовали последовательно, в то время как создатель вел себя пассивно и не реагировал на активность представителей редакции, не видя в них опасности, и не желая лишать подписчиков сообщества дополнительного контента.
Переставая полностью контролировать публикации в вашей группе, вы создаете лазейку для злоумышленников. Выбирая между защитой прав простого человека и организации, администрация Вконтакте совсем необязательно займет вашу позицию. Особенно, если у атакующей организации есть опыт подобной деятельности и грамотный юротдел.
Если ваш аккаунт был просто взломан, и кто-то смог временно вести публикации от вашего имени, то достаточно восстановить доступ к учетной записи, чтобы вернуть доступ к группе. В конце концов, вы сможете апеллировать к факту взлома и, возможно, представители социальной сети займут вашу позицию.
Но, если атакующий действовал описанным в статье методом, то шансы вернуть группу сводятся к нулю. Ключевое ограничение для атакующего — необходимость получения доступа на публикацию материалов в целевую группу, достаточный запас времени, а также отсутствие реакции создателя в момент получения группой «галочки».
Однако этого может быть и не нужно, если в группе и так публикуется материалы за авторством третьих лиц (плагиат) или изображения с логотипами существующих брендов. Группа интернет-магазина, торгующая товарами определенного бренда, вполне может быть передана этому бренду. Фан-сообщество музыкальной группы — самой музыкальной группе. И так далее. Поэтому думайте, как вы называете группу, кому вы позволяете публиковать в нее материалы, и что вы публикуете.
В то же время вы должны понимать, что администрация практически любого сайта оставляет за собой право действовать по своему усмотрению, и VK.com – не исключение. Поэтому, вкладывая силы и средства в развитие своей группы, особенно под чужим брендом, вы должны понимать, что рано или поздно можете ее потерять. Так или иначе.