"Яндекс" снял с себя ответственность за утечку данных из "Сбербанка", ВТБ, РЖД и муниципальных служб Москвы

В компании "Яндекс" и в "Сбербанке" прокомментировали масштабную утечку личных данных клиентов, о которой накануне предупредил CEO-специалист по работе с поисковыми системами, эксперт агентства Rush Agency Павел Медведев.

В "Яндексе" возложили ответственность за утечку на онлайн-сервисы РЖД, "Сбербанка", ВТБ, московских муниципальных служб и сервисов бронирования билетов. А то, что данные попали в поисковую выдачу "Яндекса", в компании объяснили "особенностями работы поисковика". Он "индексирует содержание всех страниц, если это не запрещено с помощью настроек, которые устанавливает владелец сайта или вебмастер", заявили в компании в интервью "Коммерсант FM".

Соответственно, блокировать доступ к файлам (включая личные данные пользователей) могут лишь сами владельцы сайтов.

Утечку данных прокомментировал и "Сбербанк". Его представители заверили, что проведут проверку и выяснят, каким образом данные клиентов оказались в открытом доступе. В "Сбербанке" подчеркнули, что в поисковую выдачу "Яндекса" не просочились данные, способные нанести ущерб самой кредитной организации или ее клиентам. "Сбербанк провел проверку каждой из ссылок, появившихся в сети по утечке информации из поисковой системы "Яндекс". Информация по этим ссылкам не содержит персональных данных клиентов "Сбербанка" и не несет для них никакого риска. Банк и его клиенты надежно защищены современными системами кибербезопасности", - заявил ТАСС представитель банка.

Как отмечает специалист отдела технического сопровождения продуктов ESET Russia Борис Соболев, поисковик "Яндекс" может быть отчасти ответственен за подобные инциденты с утечкой.

"Владельцы сайтов просто не понимают сам процесс индексирования и поэтому неправильно расставляют эти файлики robots.txt, которые должны лежать в определенных директориях. Поисковые машины, когда обращаются к каким-то директориям на сайте, думают, что можно просто индексировать все подряд, и добираются до тех файлов, до которых могут дотянуться. У разных поисковых систем различные способы индексирования, нет какого-то определенного регламента, которого они придерживаются. Это непонятные механизмы самих поисковых машин, то есть в открытом виде нигде не написано, как именно они сканируют, поэтому владельцы сайтов, естественно, не могут правильно их настроить, чтобы ненужные конфиденциальные файлы не регистрировались в этих поисковых машинах", - объясняет эксперт.

Накануне SEO-специалист Павел Медведев в своем Facebook опубликовал скриншоты, подтверждающие выдачу через "Яндекс" данных онлайн-сервисов РЖД, "Сбербанка", ВТБ, московских муниципальных служб и сервисов бронирования билетов, включая паспорта клиентов и их водительские права.

Объясняя, каким образом данные попали в поисковую выдачу "Яндекса", Медведев заявил, что ВТБ, "Сбербанк" и Единый транспортный портал Москвы пренебрегли элементарными требованиями защиты данных.

Он отметил, что "из-за кризиса многие хорошие специалисты и разработчики переориентировались на Запад, и качество кадров в ИТ снизилось". Для решения данной проблемы эксперт рекомендовал IT-специалистам ограничить все страницы с персональными авторизацией через логин и пароль. Еще нужно запретить роботам поисковых систем индексировать подобные страницы, чтобы в будущем избежать утечек данных. А вот пользователи на сохранность своих данных в этом случае повлиять не могут никак, остается только ждать обновлений систем безопасности этих сайтов.