Масштабные утечки данных граждан РФ продолжаются 8 лет: в Сети доступны паспорта, права, платежки банков, купленные билеты
16 июль 2018 09:40 #70533
от ICT
ICT создал тему: Масштабные утечки данных граждан РФ продолжаются 8 лет: в Сети доступны паспорта, права, платежки банков, купленные билеты
CEO-специалист по работе с поисковыми системами, эксперт агентства Rush Agency Павел Медведев обнаружил, что многие крупные российские компании пренебрегают базовыми средствами безопасности данных своих клиентов. Из-за их халатности через поисковые запросы в "Яндексе" можно найти сканы паспортов, билеты на самолет или поезд, данные о платежах в "Сбербанке" и многие другие персональные данные граждан России. Подобная ситуация недавно была с приватными
документами из Google Docs
, которые тоже на время появились в поиске. Но нынешняя утечка гораздо страшнее. "Я ввел старый
запрос 2011 года
, чтобы посмотреть, изменилась ли ситуация, и ужаснулся... Раньше проблемы были в основном у мелких интернет-магазинов, сейчас информацию сливают и такие гиганты, как ВТБ, "Сбербанк", департамент транспорта Москвы, агрегаторы авиабилетов и многие другие", - сообщил Медведев. Он показал, как с помощью поиска можно получить персональные данные россиян на сайтах мэрии Москвы mos.ru, "Сбербанка", ВТБ и других ресурсах. Их создатели не уделили достаточно внимания безопасности и поисковой оптимизации, что и стало причиной того, что страницы с персональными данными попали в поисковую выдачу "Яндекса". Для примера эксперт из Rush Agency получил данные о нескольких десятках платежей через систему "Сбербанка". И таким же образом получил электронные билеты на поезд через сервис для покупки билетов банка ВТБ. Результаты он выложил в своем
Facebook
. А на официальном сайте мэрии Москвы, через "Единый транспортный портал", можно найти сканы паспортов, водительских удостоверений и других документов. Иронизируя, Медведев предполагает, что через полгода "Яндекс" наконец-то научится "индексировать javascript и проиндексирует все CVC коды карт клиентов "Аэрофлота". Ну или может "Аэрофлот" раньше узнает о существовании robots.txt". Эксперт также отмечает, что "Сбербанк" платит огромные зарплаты своим топ-менеджерам по безопасности, которые работу свою не выполняют. "Я считаю, это связано с тем, что из-за кризиса многие хорошие специалисты и разработчики переориентировались на Запад, и качество кадров в ИТ снизилось", - пишет Медведев на портале
VC.ru
. Для решения данной проблемы эксперт рекомендует IT-специалистам ограничить все страницы с персональными авторизацией через логин и пароль. Еще им нужно запретить роботам поисковых систем индексировать подобные страницы, чтобы в будущем избежать утечек данных. А вот пользователи на сохранность своих данных в этом случае повлиять не могут никак, остается только ждать обновлений систем безопасности этих сайтов. Рассказывая о том, как могла произойти утечка, Медведев говорит, что "есть много способов, как поисковая система может узнать о ссылке - например, вы на каком-то полуприватном затерянном на окраинах интернета форуме, где сидите только вы, и пять ваших близких знакомых поделились этой ссылкой". "Поисковые системы регулярно переобходят даже самые малопосещаемые и никому неизвестные сайты, если они доступны для индексации роботам. Такая ссылка рано или поздно проиндексируется, и страница с личной информацией попадет в индекс. В 2011 году был скандал с попавшими в выдачу
SMS "Мегафона"
..." "Системы аналитики (счетчики, которые устанавливают на каждой странице сайта для исследования поведения посетителей на нем). Самые популярные в России - "Яндекс.Метрика" и Google Analytics. Заходим в настройки любого счетчика "Метрики" и видим по умолчанию опцию отправки страниц сайта в индексацию "Яндекс.Поиска. То есть все просмотренные пользователями страницы по умолчанию отправляются на индексацию, если не указан запрет, - пишет Медведев. - Но даже если установить запрет, приватные страницы все равно попадают в индекс. Потому что это один из множества источников данных поисковых систем. У Google есть браузер Chrome, у "Яндекса" - "Яндекс.Браузер". На них приходится более 70% всех посетителей". Медведев подчеркивает, что надо помнить о том, что "любая страница, доступная без авторизации, может рано или поздно попасть в индекс". Он подробно изложил, свои
рекомендации
для владельцев и разработчиков сайтов, как избежать таких утечек. Как сообщает редакция VC.ru, представители "Сбербанка", комментируя утечки, заявили, что разбираются с описанной в статье ситуацией. "Уже сейчас можем сказать, что данных, которые могут нанести ущерб банку или клиентам здесь нет", - заверили в "Сбербанке".
Ссылка на источник
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Похожие статьи
Тема | Релевантность | Дата |
---|---|---|
В мобильном приложении "РЖД Пассажирам" стали доступны билеты на пригородные поезда Приморья, Поволжья и Юга | 13.17 | Пятница, 24 мая 2019 |
Что изменится в декабре. Пора менять права и паспорта | 13.13 | Суббота, 28 ноября 2020 |
Медведев поддержал идею выдавать права и паспорта через МФЦ | 12.99 | Четверг, 14 января 2016 |
Приложение «Авто расходы» научилось распознавать паспорта, водительские права и СТС при помощи Smart IDReader | 12.46 | Четверг, 18 октября 2018 |
Председатель FCC назвал масштабные перебои в сети T-Mobile в США недопустимыми | 12.29 | Вторник, 16 июня 2020 |
95% запросов к Google на удаление ссылок в рамках "права на забвение" пришли от обычных граждан | 11.68 | Четверг, 16 июля 2015 |
Утечки данных заставят вложиться в ИБ | 11.19 | Понедельник, 26 января 2015 |
Утечки данных превратятся в поток | 11.19 | Четверг, 25 марта 2021 |
Размер утечки данных "Туту.ру" под вопросом | 11.07 | Понедельник, 04 июля 2022 |
СМБ испугался роста штрафов за утечки данных | 11.07 | Воскресенье, 29 октября 2023 |