Продолжается утечка персональных данных через Яндекс
Анатолий Шуклецов - 16.07.18 Павел Медведев, эксперт по поисковым системам Rush Agency, обращает внимание пользователей на продолжающуюся утечку данных не только с ресурсов небольших интернет-магазинов, но и Сбербанка, travel.vtb.ru, департамента транспорта Москвы, даже агрегаторов авиабилетов. Квалифицированных специалистов явно не хватает, что и создает ситуацию, когда поисковый робот «Яндекса» начинает индексировать страницы с конфиденциальной информацией – сканы документов, номера телефонов и паспортные данные вновь «утекли» в Сеть.
Нет, на данном этапе никто не говорит о личной переписке, но если забронировать билет на перелет к морю с отправкой на отдых через полгода, велика вероятность того, что «некто», вбив поисковику запрос «билет на сентябрь изменить бронирование» получит доступ в личный кабинет. А дальше уже и того проще – изменить фамилию и благополучно улететь вместо заказчика.
Корреспонденты информационного агентства «Экспресс-Новости» отмечают, что на фоне шумихи относительно появившихся в открытом доступе файлов с облачного хранилища GoogleDocs, как-то и забылось, что заказ/оплата товаров либо услуг через интернет, без соблюдения необходимых мер безопасности, делает пользователя уязвимым.
Кто виноват?
В сложившейся ситуации вины «Яндекса» практически и нет. Поисковые системы находятся в постоянной конкурентной борьбе за пользователя, стремятся повысить качество поиска. А именно полнота индекса и является одним из таких показателей. Следовательно, нечего и удивляться, что поисковики собирают «по всем закоулкам» Сети web-страницы, соответствующие полученному пользовательскому запросу. Кроме традиционного перехода по ссылкам, робот-поисковик использует и иные способы выявления новых web-страниц:
- используются аналитические системы (Яндекс.Метрика, Google Analytics;
- установка браузера чаще всего предполагает согласие пользователя на обработку/отправку информации о просмотрах;
- приобретаются анонимизированные сведения о трафике, посещении сайтов (так делает SimilarWeb).
И после этого можно считать «секретную ссылку» защищенной? Информационное агентство «Экспресс-Новости» напоминает, что все эти действия поисковика вполне законны. Ведь робот не различает, коммерческая ли информация размещена в файле, ссылкой на который пользователь поделился на форуме, либо это общедоступные сведения.
Что же делать?
Специалисты настоятельно рекомендуют выполнять ряд простых правил, чтобы не оказаться в подобной ситуации:
- все важные данные должны быть защищены от «вмешательства извне» путем авторизации;
- запрещать роботу-поисковику индексировать критически важную информацию, задействуя не одни лишь предлагаемые поисковой системой средства, но и дублируя их (robots.txt, clean-param, meta-noindex);
- потратить время и проверить, универсален ли инструмент защиты, работает ли он с иными поисковиками;
- определять роботов-поисковиков как «по user-agent», блокируя их доступ к конфиденциальной информации.
Выполняя данные правила, можно быть уверенным, что не повторится ситуация 2011-го года, когда Сбербанк взял, да и «вывалил» в свободный доступ персональные данные миллионов россиян (ФИО, адреса проживания, сканы паспортов и фотографии, номера телефонов).
Комментарии