Утечка, которая продолжается 8 лет: «Яндекс» выдает адреса россиян, сканы паспортов и т.д.

  CEO-специалист по работе с поисковыми системами, эксперт агентства Rush Agency Павел Медведев обнаружил, что многие крупные российские компании пренебрегают базовыми средствами безопасности данных своих клиентов.

Из-за их халатности через поисковые запросы в "Яндексе" можно найти сканы паспортов, билеты на самолет или поезд, данные о платежах в "Сбербанке" и многие другие персональные данные граждан России. Подобная ситуация недавно была с приватными документами из Google Docs, которые тоже на время появились в поиске. Но нынешняя утечка гораздо страшнее. "Я ввел старый запрос 2011 года, чтобы посмотреть, изменилась ли ситуация, и ужаснулся… Раньше проблемы были в основном у мелких интернет-магазинов, сейчас информацию сливают и такие гиганты, как ВТБ, "Сбербанк", департамент транспорта Москвы, агрегаторы авиабилетов и многие другие", – сообщил Медведев.
 
Он показал, как с помощью поиска можно получить персональные данные россиян на сайтах мэрии Москвы mos.ru, "Сбербанка", ВТБ и других ресурсах. Их создатели не уделили достаточно внимания безопасности и поисковой оптимизации, что и стало причиной того, что страницы с персональными данными попали в поисковую выдачу "Яндекса".
 
Для примера эксперт из Rush Agency получил данные о нескольких десятках платежей через систему "Сбербанка". И таким же образом получил электронные билеты на поезд через сервис для покупки билетов банка ВТБ. Результаты он выложил в своем Facebook.
А на официальном сайте мэрии Москвы, через "Единый транспортный портал", можно найти сканы паспортов, водительских удостоверений и других документов.
 
Иронизируя, Медведев предполагает, что через полгода "Яндекс" наконец-то научится "индексировать javascript и проиндексирует все CVC коды карт клиентов "Аэрофлота". Ну или может "Аэрофлот" раньше узнает о существовании robots.txt". Эксперт также отмечает, что "Сбербанк" платит огромные зарплаты своим топ-менеджерам по безопасности, которые работу свою не выполняют.
 
"Я считаю, это связано с тем, что из-за кризиса многие хорошие специалисты и разработчики переориентировались на Запад, и качество кадров в ИТ снизилось", – пишет Медведев на портале VC.ru.
 
Для решения данной проблемы эксперт рекомендует IT-специалистам ограничить все страницы с персональными авторизацией через логин и пароль. Еще им нужно запретить роботам поисковых систем индексировать подобные страницы, чтобы в будущем избежать утечек данных. А вот пользователи на сохранность своих данных в этом случае повлиять не могут никак, остается только ждать обновлений систем безопасности этих сайтов.
 
Рассказывая о том, как могла произойти утечка, Медведев говорит, что "есть много способов, как поисковая система может узнать о ссылке – например, вы на каком-то полуприватном затерянном на окраинах интернета форуме, где сидите только вы, и пять ваших близких знакомых поделились этой ссылкой".
 
"Поисковые системы регулярно переобходят даже самые малопосещаемые и никому неизвестные сайты, если они доступны для индексации роботам. Такая ссылка рано или поздно проиндексируется, и страница с личной информацией попадет в индекс. В 2011 году был скандал с попавшими в выдачу SMS "Мегафона"…"
 
"Системы аналитики (счетчики, которые устанавливают на каждой странице сайта для исследования поведения посетителей на нем). Самые популярные в России – "Яндекс.Метрика" и Google Analytics. Заходим в настройки любого счетчика "Метрики" и видим по умолчанию опцию отправки страниц сайта в индексацию "Яндекс.Поиска. То есть все просмотренные пользователями страницы по умолчанию отправляются на индексацию, если не указан запрет, – пишет Медведев. – Но даже если установить запрет, приватные страницы все равно попадают в индекс. Потому что это один из множества источников данных поисковых систем. У Google есть браузер Chrome, у "Яндекса" – "Яндекс.Браузер". На них приходится более 70% всех посетителей".
 
Медведев подчеркивает, что надо помнить о том, что "любая страница, доступная без авторизации, может рано или поздно попасть в индекс". Он подробно изложил, свои рекомендации для владельцев и разработчиков сайтов, как избежать таких утечек.
 
Как сообщает редакция VC.ru, представители "Сбербанка", комментируя утечки, заявили, что разбираются с описанной в статье ситуацией. "Уже сейчас можем сказать, что данных, которые могут нанести ущерб банку или клиентам здесь нет", – заверили в "Сбербанке". // NEWSru.com

You may also like...