Zarząd grono.net informuje, iż w efekcie błędnej konfiguracji robota indeksującego w wyszukiwarce internetowej Google pojawiły się informacje z serwisu grono.net nie przeznaczone do indeksowania. Co istotne, poprzez Google dostępne były wyłącznie informacje, które są jawne dla wszystkich użytkowników grono.net. Dokładnie rodzaj wyświetlanych w Google informacji oraz przyczyny wyjaśniamy w załączonej informacji.
Zarząd firmy pragnie przeprosić użytkowników za zaistniałą sytuację. Pomimo, iż nie doszło do ujawnienia żadnych tajnych danych i bezpieczeństwo prywatności użytkowników nie było zagrożone, przyznajemy, że sytuacja ta nie powinna mieć miejsca.
Traktując kwestie bezpieczeństwa bardzo poważnie nie zlekceważyliśmy tej usterki. Zablokowaliśmy działanie wadliwego skryptu Google i na wszelki wypadek zwróciliśmy się o usunięcie w trybie ekspresowym z wyszukiwarki wszelkich informacji pochodzących z grono.net. Konsekwencją tej decyzji będzie czasowe całkowite zniknięcie serwisu grono.net z Google. W zaistniałej sytuacji zarząd grono.net uznał jednak, iż najważniejsze jest dobro i zaufanie użytkowników.
Raz jeszcze przepraszamy za ewentualne niedogodności.
Z poważaniem,
Zarząd grono.net
Co się stało?
W wyszukiwarce Google w wyniku błędu skryptu indeksującego znalazły się informacje o użytkownikach grono.net, które normalnie dostępne są dla innych użytkowników grono.net a nie dla wszystkich internautów. Są to informacje, które użytkownicy sami zdecydowali się uczynić publicznymi dla innych członków grono.net. Ani ich charakter, ani zakres nie powodował żadnego zagrożenia – np. uzyskania dostępu do poczty czy przejęcia konta użytkownika.
Przyczyna usterki została przez grono.net usunięta. Zwróciliśmy się także do Google o usunięcie w trybie ekspresowym z wyszukiwarki wszystkich informacji pochodzących z grono.net.
Jakie dane znalazły się w Google?
Skrypt indeksujący Google Bot był zarejestrowany w serwisie grono.net jako zwykły użytkownik i miał dostęp wyłącznie do widocznych publicznie danych – tych samych do jaki dostęp mają wszyscy użytkownicy grono.net. Dostępne były więc dane, które sam użytkownik zdecydował się ujawnić innym uczestnikom grono.net. Nie znalazły się w Google zastrzeżone dane konta użytkownika, hasła itd. Nie zostały także ujawnione dane, które użytkownik uczynił dostępnymi np. wyłącznie znajomym. Google Bot nie indeksował także ukrytych gron, ani żadnych innych informacji, których członkowie społeczności grono.net nie chcieli ujawnić. Zindeksowane zostały więc wyłącznie informacje widoczne dla każdego z miliona użytkowników serwisu. W okresie współpracy reklamowej z systemem Google, skrypt zindeksował jedynie ok. 15% profili użytkowników grono.net.
Dlaczego tak się stało?
Pod koniec 2006 roku serwis grono.net nawiązał współpracę reklamową z wyszukiwarką Google. Na podstawie instrukcji dostarczonych przez Google uruchomiono specjalny skrypt indeksujący, mający na celu jak najlepsze dopasowanie wyświetlanych na stronach grono.net reklam do poszczególnych profili użytkowników i gron tematycznych. Celem działania systemu AdSense jest dostarczanie użytkownikowi wyłącznie reklam potencjalnie go interesujących.
Skrypt indeksujący zadziałał wadliwie i umieścił w wyszukiwarce także strony nie przeznaczone dla wszystkich internautów a jedynie dla innych użytkowników grono.net.
Jakie działania podjęliśmy?
Po stwierdzeniu tej sytuacji zarząd grono.net podjął decyzję o zakończeniu opartej na systemie AdSense współpracy reklamowej z Google. Zwróciliśmy się także do Google o usunięcie wszystkich rekordów dotyczących grono.net z tej wyszukiwarki.
Jak ma się ta sytuacja do niedawnego ostrzeżenia przed atakiem XSS?
Są to dwie, niezależne od siebie sprawy. Kilka dni temu pojawiła się informacja o potencjalnej możliwości ataku XSS na serwis grono.net. Dzięki szybkiemu wykryciu i natychmiastowej likwidacji luki nie odnotowaliśmy żadnej próby ataku dokonanego przy użyciu tej metody. Nie pojawiły się także publicznie informacje, w jaki sposób tego typu atak można było przeprowadzić. Obecnie serwis grono.net jest więc całkowicie bezpieczny.
Informacje z grono.net w Google – FAQ
1. Dlaczego informacje z mojego profilu pojawiły się w wyszukiwarce Google?
Był to efekt niewłaściwej pracy robota indeksującego, mającego za zadanie dostosowywanie wyświetlanych w serwisie reklam do profilu użytkownika. Od razu po wykryciu ujawnienia danych przez wyszukiwarkę usunęliśmy skrypt i zdecydowaliśmy o przerwaniu współpracy reklamowej z Google.
2. Czy Google pokazuje także dane prywatne, dostępne tylko dla moich znajomych i mapkę geolokalizacji?
Nie. Robot działał jako zwykły użytkownik i miał dostęp tylko do danych dostępnych dla ponad miliona członków społeczności grono.net. Żadne informacje poufne, oznaczone jako widoczne tylko dla znajomych, prywatne wiadomości, czy ukryte grona, nie zostały zindeksowane przez skrypt Google i nie są dostępne w wyszukiwarce.
3. Czy przez Google można włamać się do mojej skrzynki prywatnych wiadomości?
Nie. Robot indeksujący miał uprawnienia zwykłego użytkownika i w związku z tym udostępniono mu tylko jego własną, pustą skrzynkę wiadomości. Prywatne skrzynki użytkowników nie były zagrożone.
4. Czy ujawniliście informacje wszystkich użytkowników?
Nie. Robot zindeksował i udostępnił profile ok. 5% członków społeczności grono.net.
5. Kiedy usuniecie problem?
Usunęliśmy robota i zakończyliśmy współpracę reklamową z Google. Wystąpiliśmy też do Google o usunięcie z wyszukiwarki wszystkich odnośników do serwisu grono.net. W ciągu kilku dni sytuacja powinna powrócić do normy.
6. Podobno pojawiła się możliwość włamania do serwisu grono.net. Czy to prawda i czy moje dane są bezpieczne?
Wykryliśmy lukę w systemie, umożliwiającą przeprowadzenie ataku. Od razu po jej stwierdzeniu zespół techniczny grono.net przystąpił do pracy i usunął awarię. Nie odnotowaliśmy żadnych włamań, luka była tylko potencjalnym zagrożeniem. Obecnie system jest już w pełni bezpieczny.
AKTUALIZACJA – 17:40 , 17.01.2007r.
Zarząd grono.net informuje, że 16 stycznia o godzinie 23:50 profile użytkowników serwisu przestały być widoczne w wyszukiwarce Google. Obecnie dostępne są jedynie galerie zewnętrzne, tzn. takie, na których udostępnienie bez logowania użytkownicy wyrazili zgodę.
Profile użytkowników zostały w trybie ekspresowym usunięte z wyszukiwarki Google na prośbę grono.net. Decyzja zarządu grono.net podyktowana została troską o bezpieczeństwo danych osobowych i zaufanie naszych użytkowników.
Jednocześnie pragniemy jeszcze raz podkreślić, że w wyniku usterki w wyszukiwarce zindeksowane były wyłącznie informacje jawne dla wszystkich użytkowników grono.net. Nie były publicznie dostępne żadne dane zastrzeżone przez członków społeczności jako poufne i dostępne wyłącznie dla ich znajomych. Przez cały czas bezpieczne były również skrzynki prywatnych wiadomości i ukryte prywatne grona dyskusyjne.
Nie zmienia to faktu, iż podobna sytuacja nie powinna mieć miejsca w grono.net i jest nam niezwykle przykro z powodu jej zaistnienia.
Przepraszamy użytkowników za uciążliwości.
Zarząd grono.net
