Масштабные утечки данных граждан РФ продолжаются 8 лет: в Сети доступны паспорта, права, платежки банков, купленные билеты

CEO-специалист по работе с поисковыми системами, эксперт агентства Rush Agency Павел Медведев обнаружил, что многие крупные российские компании пренебрегают базовыми средствами безопасности данных своих клиентов.

Из-за их халатности через поисковые запросы в "Яндексе" можно найти сканы паспортов, билеты на самолет или поезд, данные о платежах в "Сбербанке" и многие другие персональные данные граждан России. Подобная ситуация недавно была с приватными документами из Google Docs, которые тоже на время появились в поиске. Но нынешняя утечка гораздо страшнее. "Я ввел старый запрос 2011 года, чтобы посмотреть, изменилась ли ситуация, и ужаснулся... Раньше проблемы были в основном у мелких интернет-магазинов, сейчас информацию сливают и такие гиганты, как ВТБ, "Сбербанк", департамент транспорта Москвы, агрегаторы авиабилетов и многие другие", - сообщил Медведев.

Он показал, как с помощью поиска можно получить персональные данные россиян на сайтах мэрии Москвы mos.ru, "Сбербанка", ВТБ и других ресурсах. Их создатели не уделили достаточно внимания безопасности и поисковой оптимизации, что и стало причиной того, что страницы с персональными данными попали в поисковую выдачу "Яндекса".

Для примера эксперт из Rush Agency получил данные о нескольких десятках платежей через систему "Сбербанка". И таким же образом получил электронные билеты на поезд через сервис для покупки билетов банка ВТБ. Результаты он выложил в своем Facebook.

А на официальном сайте мэрии Москвы, через "Единый транспортный портал", можно найти сканы паспортов, водительских удостоверений и других документов.

Иронизируя, Медведев предполагает, что через полгода "Яндекс" наконец-то научится "индексировать javascript и проиндексирует все CVC коды карт клиентов "Аэрофлота". Ну или может "Аэрофлот" раньше узнает о существовании robots.txt". Эксперт также отмечает, что "Сбербанк" платит огромные зарплаты своим топ-менеджерам по безопасности, которые работу свою не выполняют.

"Я считаю, это связано с тем, что из-за кризиса многие хорошие специалисты и разработчики переориентировались на Запад, и качество кадров в ИТ снизилось", - пишет Медведев на портале VC.ru.

Для решения данной проблемы эксперт рекомендует IT-специалистам ограничить все страницы с персональными авторизацией через логин и пароль. Еще им нужно запретить роботам поисковых систем индексировать подобные страницы, чтобы в будущем избежать утечек данных. А вот пользователи на сохранность своих данных в этом случае повлиять не могут никак, остается только ждать обновлений систем безопасности этих сайтов.

Рассказывая о том, как могла произойти утечка, Медведев говорит, что "есть много способов, как поисковая система может узнать о ссылке - например, вы на каком-то полуприватном затерянном на окраинах интернета форуме, где сидите только вы, и пять ваших близких знакомых поделились этой ссылкой".

"Поисковые системы регулярно переобходят даже самые малопосещаемые и никому неизвестные сайты, если они доступны для индексации роботам. Такая ссылка рано или поздно проиндексируется, и страница с личной информацией попадет в индекс. В 2011 году был скандал с попавшими в выдачу SMS "Мегафона"..."

"Системы аналитики (счетчики, которые устанавливают на каждой странице сайта для исследования поведения посетителей на нем). Самые популярные в России - "Яндекс.Метрика" и Google Analytics. Заходим в настройки любого счетчика "Метрики" и видим по умолчанию опцию отправки страниц сайта в индексацию "Яндекс.Поиска. То есть все просмотренные пользователями страницы по умолчанию отправляются на индексацию, если не указан запрет, - пишет Медведев. - Но даже если установить запрет, приватные страницы все равно попадают в индекс. Потому что это один из множества источников данных поисковых систем. У Google есть браузер Chrome, у "Яндекса" - "Яндекс.Браузер". На них приходится более 70% всех посетителей".

Медведев подчеркивает, что надо помнить о том, что "любая страница, доступная без авторизации, может рано или поздно попасть в индекс". Он подробно изложил, свои рекомендации для владельцев и разработчиков сайтов, как избежать таких утечек.

Как сообщает редакция VC.ru, представители "Сбербанка", комментируя утечки, заявили, что разбираются с описанной в статье ситуацией. "Уже сейчас можем сказать, что данных, которые могут нанести ущерб банку или клиентам здесь нет", - заверили в "Сбербанке".


ССЫЛКИ ПО ТЕМЕ