Wpis będzie lekko dłuższy, ale wydaje mi się, że warto.
Zaczęło się to od tego, że ze dwa razy zaplusowalem rumuna a i dla beki wrzuciłem na główną i mikro któryś z memowych filmów rumuna, co prawda bez +18, ale z jedną z adminek w vikop. Obłapałem platynkę jako jeden z pierwszych. Pare dni posiedziałem z banem, ale z wykopu z permem się średnio korzysta. Odwołałem się od bana, ofc bezzasadnie. Założyłem nowe konto, a na którym też dostałem bana za plusowanie rumuna ale już nie musiałem żadnego mema wrzucać.
Stwierdziłem, że mam w nosie, zmieniłem adres e-mail na koncie starym. I z ryjem do moderacji przez beznadziejny system zgłoszeniowy. Szanowni Państwo, nie mogę się wbić na swoje konto. Proszę o diagnozę dlaczego nie dostaje linku do zmiany hasła. To poprosili mnie o login, adres email i telefon. Podałem. Piszą, że nie ma konta z danym adresem e-mail, pewnie ktoś mi się włamał na maila i zmienił. To się wkurzyłem, że tak ściemniają i napisałem, że łżą, bo mam maila na gmailu, do maila mam podpięte uwierzytelnianie dwuskładnikowe, alerty jak ktoś loguje się na nowym urządzeniu i jest na prawdę bezpiecznie w przeciwieństwie do portalu gdzie co któryś dzień ktoś włamuje się na stare konta i udostępnia dziwne treści. Napisałem, że na to konto rejestrowałem się a że mają dziurawy portal i nie dostałem nawet informacji, ze ktoś zmienia mi adres email to jest to wyłącznie ich wina, że straciłem konto przez ich chore polityki bezpieczeństwa.
Przez dwa dni nie było odzewu. Po czym lekki zwrot akcji. Poprosimy o wiadomość którą otrzymał Pan w ramach rejestracji na to konto. Niestety sprzed 8 lat maili nie trzymam, ale podrzuciłem jakiegoś maila ze zmianą regulaminu a także stary mail ze zmianą hasła (wtedy też ogarnąłem, że link do zmiany hasła konta nie wygasa i można klikać kilkadziesiąt razy i za każdym razem dostać można maila z nowym hasłem i napisałem, że to średnio zgodne z jakimkolwiek security). Przekierowałem wiadomość, ale woleli skriny tych wiadomości, więc też podrzuciłem. O dziwo przywrócili mój poprzedni adres e-mail, ale został z banem. Poprosiłem o zdjęcie bana i o dziwo zdjęli też i dostałem osiągnięcie Banana.
Wnioski: wykop działa aktualnie na trytytkach i nie spełnia norm bezpieczeństwa. Główne błędy które wyłapałem.
-
Link do zmiany hasła jest dożywotni.
-
Zmiana adresu e-mail nie wymaga potwierdzenia tej zmiany na starym adresie e-mail. Nie ma też zwykłej notyfikacji, że ktoś zmienił Ci adres e-mail.
-
Blokowanie API dla IP danego konta. Tu mechanizm jest prosty - wystarczy zalogować się z innego adresu IP (np. sieci komórkowej) i już Twoje konto i adres IP z blokadą jest odblokowany. To moje trochę gdybanie.
-
Do potwierdzenia konta nie potrzeba waszego numeru telefonu wystarczy jakikolwiek numer z bramki SMS a w internecie jest dużo i nie musi być z Polski.
-
Wykop nie przetrzymuje żadnej historii i logów z wysłanymi mailami dla danego konta, a także z wysłanymi SMSami. Nie mają możliwości sprawdzenia po numerze telefonu czy dane konto należy do Ciebie czy nie. Nie wiedzą też kiedy i z jakiego adresu IP został zmieniony adres email.
I na koniec smaczek, bo dopytałem się dlaczego banują ludzi za plusowanie wpisów rumuna:
"Bana dostaje się za naruszenie regulaminu - czyli np. promowanie/plusowanie łamania regulaminu (pornografia, naruszenie dóbr osobistych itp.). Wszystko jest wyjaśnione w naszych standardach moderacyjnych: Wykop.pl - Standardy moderacji "
I tu powiem, że rozumiem ich, bo mocne są niektóre materiały, ale nie zmienia to faktu, że to tak jakby policja zamykała każdego za zioło zamiast wytępić dealerów.
