Статьи

Нашлось все: кто виноват в утечке личной информации в поисковики?

Иван Комиссаров, Алексей Талан, Алексей Хебень / 29.07.2011 / 16:12

На минувшей неделе для многих абонентов «МегаФона», отправлявших SMS через сайт оператора, стало неприятным сюрпризом известие, что их сообщения попали в кэш крупнейшего российского поисковика. Впрочем, на этом история с утечкой данных не закончилась: суммарно «Яндекс» проиндексировал порядка 50 000 страниц с личной информацией пользователей. В кэш поисковика попали SMS-сообщения с сайта «МегаФона», закрытые фотоальбомы МТС (проект streamphoto.ru), личные данные покупателей интернет-магазинов, в том числе и секс-шопов, личные файлы пользователей мессенджера QIP, а также электронные билеты с сайтов railwayticket.ru и tutu.ru. Почему это произошло? Чего ещё бояться и кто виноват? Об этом мы и поговорили с нашими экспертами по SEO.

Как так вышло, что «Яндекс» неожиданно проиндексировал личную информацию? Почему этого не произошло раньше?

Интересный вопрос. Возможно, это связано с введением новых алгоритмов и факторов ранжирования результатов поиска. А быть может, дыры существовали давно, просто об этом никто особо не распространялся.

paradise-shop.ru , Яндекс

В чём была ошибка веб-мастеров?

Веб-мастерам как минимум надо было прописать запрет на индексацию скрипта (в файле robots.txt), который отвечает за вывод «секретной» информации. То есть надо было разместить на сайте инструкцию, которая запрещала бы роботам поисковых машин смотреть куда не следует и выкладывать информацию на всеобщее обозрение. Кроме того, веб-программисты допустили возможность просмотра личных данных по прямой ссылке. Аксиома простая: личная информация не должна быть доступна незарегистрированным пользователям.

Как не допускать подобных промахов?

Для начала нужно запретить индексировать «секретные» страницы и скрипты в файле robots.txt. В результате в поисковик просто не будут попадать ссылки на страницы с личными данными. Затем надо сделать подобные вещи доступными только через авторизацию. Дополнительно можно привязывать сессию к браузеру и допускать пользователей только из определённого региона (по IP-адресу). Кроме того, надо стараться хранить на сервере только самые необходимые сведения. Любопытный же вопрос — зачем вообще «МегаФону» понадобилось на странице со статусом доставки SMS записывать ещё и полный её текст, и полный номер телефона. В случае с номером абонента достаточно нескольких последних цифр.

Проиндексировалось ли что-то подобное в Google, Bing и Mail.ru?

Да, в этих поисковиках тоже проиндексировались статусы покупок в магазинах, но масштабы меньше. Например, секс-шопы тоже попали в Google, Bing и Mail.ru.

Магазины, Bing

 

Секс-шопы, Google

 

Как надо искать личные данные (интересуемся в целях безопасности)?

Приведём несколько примеров. Для поиска в Google можно использовать такую команду: “site:магазин.ру Статус заказа Получатель”.

Для поиска в «Яндексе»: url:www.railwayticket.ru* | url:railwayticket.ru*, или  inurl:hash Статус заказа, или ukey=order_status Получатель или inurl:0 inurl:b inurl:1 inurl:c статус заказа. Последняя команда означает, что в адресной строке используются символы 0, b, 1, c.

Для поиска в Bing: “order_status IP покупателя”.

Для поиска в Mail.ru: “order status IP покупателя”.

Почему дыра в «Яндексе» обнаружилась только сейчас?

Как мы уже говорили, это не дыра, и вины поисковых машин тут, скорее всего, нет.

Стоит ли бояться за свои данные пользователям крупных онлайн-сервисов?

Такими проектами наверняка занимаются профи. Они, безусловно, изначально приняли меры, чтобы в «Яндекс» не сливались личные данные клиентов. Хотя, конечно, свечку не держали — и кто знает, какие ещё сюрпризы хранятся в памяти поисковых машин.

Но в любом случае, если у кого-то и был прокол, сейчас он уже наверняка ликвидирован.

Так всё-таки виновата «Яндекс.Метрика» или нет?

По косвенным данным, на проиндексированных сайтах была установлена «Яндекс.Метрика» и Google Analytics. Также, предположительно, к утечке могут иметь отношение собирающие информацию браузерные тулбары. Но, подчёркнём, в первую очередь виноваты не инструменты, а неопытность и необязательность веб-мастеров.

Чего ещё ждать?

Ждём индексации «Яндексом» кредиток. Кстати. Неделю назад в Сеть утекли выписки счетов клиентов украинской платёжной системы “Приват24”. Больше всего страниц проиндексировал Google, тогда как «Яндекс» промолчал.

Почему страницы проиндексированных магазинов так похожи?

Магазины были построены на одной дешёвой платформе. Кроме того, владельцы сэкономили и на администрировании ресурса. Что же, скупой платит дважды.

Впрочем, предприимчивые бизнесмены уже извлекли выгоду. По информации vesti.ru, владельцы секс-шопов проанализировали страницы в «Яндексе» и провели маркетинговое исследование. Выяснилось, что основные клиенты интимных онлайн-магазинов — женщины. Чаще всего они заказывают эротическое бельё и ролевые костюмы. Наибольшей популярностью пользуется полицейская форма.

В тему
еще...
blog comments powered by Disqus
Обратная связь
Имя
E-mail
Сообщение:

Отправить