В поисковой выдаче "Яндекса" были обнаружены личные данные россиян, включая сканы паспортов, данные о банковских платежах, авиа и железнодорожные билеты. Утечку обнаружил один из пользователей, эксперт по работе с поисковыми системами Павел Медведев, и сообщил об этом, прилагая скрины на своей странице в Facebook.
Эксперт по работе с поисковыми системами Павел Медведев обнаружил, что через поисковик "Яндекса" можно найти персональные данные россиян, включая копии паспортов и банковских платежей. По его словам, стали доступны личные данные клиентов Сбербанка и ВТБ, а также данные россиян с сайта департамента транспорта Москвы.
При этом документы доступны в высоком качестве. По мнению Медведева, причина общедоступности таких документов кроется в том, что некоторые сервисы, например ВТБ, Сбербанк, "Единый транспортный портал Москвы", пренебрегают элементарными требованиями защиты данных: у них даже отсутствует файл robots.txt, где прописываются параметры индексирования содержания для поисковых машин. "Системы аналитики (счетчики, которые устанавливают на каждой странице сайта для исследования поведения посетителей на нем). Самые популярные в России - "Яндекс.Метрика" и Google Analytics. Заходим в настройки любого счетчика "Метрики" и видим по умолчанию опцию отправки страниц сайта в индексацию "Яндекс.Поиска. То есть все просмотренные пользователями страницы по умолчанию отправляются на индексацию, если не указан запрет, - пишет Медведев на портале VC.ru. - Но даже если установить запрет, приватные страницы все равно попадают в индекс. Потому что это один из множества источников данных поисковых систем. У Google есть браузер Chrome, у "Яндекса" - "Яндекс.Браузер". На них приходится более 70% всех посетителей".
"Представьте ситуацию: вы купили авиабилет с вылетом через полгода, вам пришла SMS с ссылкой для просмотра и редактирования информации в личном кабинете. Вы перешли на нее в телефоне, проверили и забыли. Тем временем ваш мобильный "Яндекс.Браузер", Android или счетчик метрики сообщил поисковику, что появилась неизвестная ранее страница, робот проверил — страница работает, проиндексировал ее через какое-то время.
Потом злоумышленник вбивает в поиск запрос вроде "билет на Бали октябрь изменить бронирование" — попадает в ваш личный кабинет, переписывает фамилию на свою и через полгода улетает вместо вас. (Можно представить, что и такие сайты существуют, которые даже не предупредят об изменении и не запросят дополнительное подтверждение или авторизацию.)", - приводит пример Медведев.
Для решения проблемы с индексацией личных данных пользователей эксперт рекомендует IT-специалистам ограничить все страницы с персональными авторизацией через логин и пароль. Еще им нужно запретить роботам поисковых систем индексировать подобные страницы, чтобы в будущем избежать утечек данных. А вот пользователи на сохранность своих данных в этом случае повлиять не могут никак, остается только ждать обновлений систем безопасности этих сайтов.
Представители "Яндекса" заявили, что попадание документов в выдачу связано с особенностями работы поисковика. Он индексирует содержание всех страниц, если это не запрещено с помощью настроек, которые устанавливает владелец сайта или веб-мастер. Таким образом, считают в компании, владельцы сайта могут сами заблокировать доступ к файлам.
Сбербанк проводит разбирательство по утечке данных клиентов в поисковой системе "Яндекса", данных, которые могут нанести ущерб банку или клиентам, там нет, сообщили РИА "Новости" в пресс-службе крупнейшего российского банка.
"Сбербанк проводит разбирательство по данной ситуации. Однако уже сейчас можем сказать, что данных, которые могут нанести ущерб банку или клиентам, здесь нет", - отметили в банке. Глава Сбербанка Герман Греф в начале июля заявил, что мошенникам ни разу не удалось взломать системы Сбербанка, однако, по его словам, клиенты банка не защищены полностью.
Ранее в этом месяце произошел другой крупный инцидент, связанный с утечкой личных данных: "Яндекс" начал индексировать в поиске документы пользователей Google Docs, выдавая по соответствующим запросам файлы, содержащие, например, пароли, фамилии и телефоны.
"Яндекс" выдавал искомые документы, если ему указывали область поиска docs.google.com, а в строке поиска писали, например, "пароли". Поисковик показывал документы с информацией, похожей на персональные данные, в текстовом формате или формате электронной таблицы.
В открытый доступ попали документы, для которых владельцы настроили самый небезопасный уровень приватности - возможность показа для всех. Представители "Яндекса" сообщали, что поисковик индексирует лишь открытую часть интернета – те страницы, которые доступны при переходе по ссылкам без ввода логина и пароля. Страницы, индексация которых запрещена администратором сайта в файле robots.txt, "Яндекс" не индексирует, даже если они находятся в открытой части интернета.