Политика приватности

GhostEcos — экосистема из нескольких сервисов: GhostChat (мессенджер), GhostSocial (соцсеть), GhostBank (игровой кошелёк), GhostNation (мини-игра), OKey (Telegram-бот знакомств). Они используют общий аккаунт.

Каждый сервис собирает разные данные. Ниже — подробно.

• Username и display name (которое ты вводишь сам)
• Хэш пароля (Argon2id — оригинал восстановить нельзя)
• Публичный ключ E2E — нужен, чтоб другие могли тебе шифровать
• Зашифрованный приватный ключ — для входа с других устройств. Зашифрован твоим паролем; сервер не может его расшифровать
• Seed-фраза (хэш) — для восстановления доступа
• Дата регистрации и время последнего захода

Используется крипто-стек: P-256 ECDH + HKDF-SHA256 + AES-256-GCM. Сервер видит только base64-«мусор», не может расшифровать содержимое.

• DM-сообщения хранятся на сервере только до доставки получателю. После подтверждения (/ack) удаляются.
• Группы (приватные) — sender-key схема: общий AES-ключ упаковывается через ECDH для каждого участника отдельно. Сервер видит только envelope_keys + ciphertext.
• Каналы публичные — НЕ E2E. Содержимое открыто читается сервером (как Telegram-каналы). Это явно помечено в UI при создании канала.
• Файлы — шифруются на твоём устройстве AES-GCM ключом, который передаётся в самом зашифрованном сообщении. TTL 7 дней, удаляются после скачивания получателем.
• Голосовые — то же что файлы.
• Метаданные (кто-кому, когда, размер) — сервер знает. Это технически необходимо для маршрутизации.

Здесь данные не зашифрованы — это публичная социалка по дизайну. Что хранится:

• Посты, комментарии, реакции — публично
• Подписки follower/followee
• Миниски (короткие видео) — TTL 48 часов
• Медиа в постах — на сервере в открытом виде (после оптимизации Pillow / ffmpeg)
• Activity-score поста — для алгоритма видимости
• История просмотров постов (для дедупа в ленте)
• Жалобы (reports)

3 валюты: Gost (за активность), Soul (capped, обменивается), Prem (премиум).

• Балансы и транзакции хранятся в БД
• NFT-каталог и кто чем владеет — публично
• Кастомные usernames + история купли-продажи
• Инвойсы и переводы Soul между юзерами

• Имя и цвет твоей страны
• Границы (полигон координат)
• Объекты на карте (здания, дороги)
• Баланс игровой валюты gost (отдельный от GhostBank)

Аутентификация через тот же gs_token (SSO).

• Telegram user_id и username
• Анкета: имя, возраст, пол, кого ищет, био, фото (file_id)
• Лайки и матчи

Бот работает отдельно от веб-аккаунта. Связь с GhostEcos в разработке.

• gs_token (cookie) — токен сессии для SSO между сервисами экосистемы
• localStorage — UI-настройки, кэш, токен, реф-ссылка
• IndexedDB (только в /chat/) — твои E2E-ключи и история сообщений (на твоём устройстве, не на сервере)

Третьесторонних трекеров (Google Analytics, Facebook Pixel и т.п.) — нет.

• IP-адрес — в логах nginx (стандартно, для rate-limit и защиты от атак)
• User-Agent — в access-логах
• Время подключения и активности WebSocket

Логи nginx ротируются по умолчанию (обычно 7-30 дней).

• Не продаём и не передаём данные третьим лицам
• Не монетизируем через рекламу
• Не используем сторонние трекеры и аналитику
• Не запрашиваем email, телефон, документы
• Не имеем доступа к расшифрованным E2E-сообщениям
• Не передаём данные госорганам по своей инициативе (только по официальному запросу при наличии правовых оснований и только то, что физически есть в БД)

• Удалить аккаунт — в любой момент. Все связанные данные стираются из БД
• Сменить пароль — старый токен инвалидируется, нужно перезайти. E2E-ключи пересоздаются
• Изменить username и профиль — в любой момент
• Скачать данные — функция в разработке; пока — по запросу через @waki_one
• Выйти из всех устройств — при смене пароля автоматически

Весь серверный и веб-код опубликован под AGPL-3.0 на GitHub. Любой может проверить, что заявлено = что реализовано.

По вопросам приватности, удаления данных и безопасности — пиши напрямую: