Масштабные утечки данных граждан РФ продолжаются 8 лет: в Сети доступны паспорта, права, платежки банков, купленные билеты
16 июля 2018 года
CEO-специалист по работе с поисковыми системами, эксперт агентства Rush Agency Павел Медведев обнаружил, что многие крупные российские компании пренебрегают базовыми средствами безопасности данных своих клиентов.
Из-за их халатности через поисковые запросы в «Яндексе» можно найти сканы паспортов, билеты на самолет или поезд, данные о платежах в «Сбербанке» и многие другие персональные данные граждан России. Подобная ситуация недавно была с приватными документами из Google Docs, которые тоже на время появились в поиске. Но нынешняя утечка гораздо страшнее. «Я ввел старый запрос 2011 года, чтобы посмотреть, изменилась ли ситуация, и ужаснулся... Раньше проблемы были в основном у мелких интернет-магазинов, сейчас информацию сливают и такие гиганты, как ВТБ, «Сбербанк», департамент транспорта Москвы, агрегаторы авиабилетов и многие другие», - сообщил Медведев.
Он показал, как с помощью поиска можно получить персональные данные россиян на сайтах мэрии Москвы mos.ru, «Сбербанка», ВТБ и других ресурсах. Их создатели не уделили достаточно внимания безопасности и поисковой оптимизации, что и стало причиной того, что страницы с персональными данными попали в поисковую выдачу «Яндекса».
Для примера эксперт из Rush Agency получил данные о нескольких десятках платежей через систему «Сбербанка». И таким же образом получил электронные билеты на поезд через сервис для покупки билетов банка ВТБ. Результаты он выложил в своем Facebook.
А на официальном сайте мэрии Москвы, через «Единый транспортный портал», можно найти сканы паспортов, водительских удостоверений и других документов.
Иронизируя, Медведев предполагает, что через полгода «Яндекс» наконец-то научится «индексировать javascript и проиндексирует все CVC коды карт клиентов «Аэрофлота». Ну или может «Аэрофлот» раньше узнает о существовании robots.txt». Эксперт также отмечает, что «Сбербанк» платит огромные зарплаты своим топ-менеджерам по безопасности, которые работу свою не выполняют.
«Я считаю, это связано с тем, что из-за кризиса многие хорошие специалисты и разработчики переориентировались на Запад, и качество кадров в ИТ снизилось», - пишет Медведев на портале VC.ru.
Для решения данной проблемы эксперт рекомендует IT-специалистам ограничить все страницы с персональными авторизацией через логин и пароль. Еще им нужно запретить роботам поисковых систем индексировать подобные страницы, чтобы в будущем избежать утечек данных. А вот пользователи на сохранность своих данных в этом случае повлиять не могут никак, остается только ждать обновлений систем безопасности этих сайтов.
Рассказывая о том, как могла произойти утечка, Медведев говорит, что «есть много способов, как поисковая система может узнать о ссылке - например, вы на каком-то полуприватном затерянном на окраинах интернета форуме, где сидите только вы, и пять ваших близких знакомых поделились этой ссылкой».
«Поисковые системы регулярно переобходят даже самые малопосещаемые и никому неизвестные сайты, если они доступны для индексации роботам. Такая ссылка рано или поздно проиндексируется, и страница с личной информацией попадет в индекс. В 2011 году был скандал с попавшими в выдачу SMS «Мегафона»..."
«Системы аналитики (счетчики, которые устанавливают на каждой странице сайта для исследования поведения посетителей на нем). Самые популярные в России - «Яндекс.Метрика» и Google Analytics. Заходим в настройки любого счетчика «Метрики» и видим по умолчанию опцию отправки страниц сайта в индексацию «Яндекс.Поиска. То есть все просмотренные пользователями страницы по умолчанию отправляются на индексацию, если не указан запрет, - пишет Медведев. - Но даже если установить запрет, приватные страницы все равно попадают в индекс. Потому что это один из множества источников данных поисковых систем. У Google есть браузер Chrome, у «Яндекса» - «Яндекс.Браузер». На них приходится более 70% всех посетителей».
Медведев подчеркивает, что надо помнить о том, что «любая страница, доступная без авторизации, может рано или поздно попасть в индекс». Он подробно изложил, свои рекомендации для владельцев и разработчиков сайтов, как избежать таких утечек.
Как сообщает редакция VC.ru, представители «Сбербанка», комментируя утечки, заявили, что разбираются с описанной в статье ситуацией. «Уже сейчас можем сказать, что данных, которые могут нанести ущерб банку или клиентам здесь нет», - заверили в «Сбербанке».
Источники[править]
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии[править]
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.