ВТБ, «Сбербанк», официальный сайт мэра Москвы — утечки данных пользователей продолжаются
В связи с последними скандалами по утечке персональных данных сайт vc.ru разместил статью, где объяснили, почему это происходит и как с этим бороться. Рассказывает SEO-специалист, эксперт по поисковым системам в Rush Agency Павел Медведев.
На фоне всеобщей истерии в ленте по поводу «Google Документов» и Power Bi я ввёл старый запрос 2011 года, чтобы посмотреть, изменилась ли ситуация, и ужаснулся.
Раньше проблемы были в основном у мелких интернет-магазинов, сейчас информацию сливают и такие гиганты, как ВТБ, «Сбербанк», департамент транспорта Москвы, агрегаторы авиабилетов и многие другие. Я считаю, это связано с тем, что из-за кризиса многие хорошие специалисты и разработчики переориентировались на Запад, и качество кадров в ИТ снизилось. Примеры данных, которые можно найти в поисковой выдаче:
![65464645](https://www.klerk.ru/img/pb/original/1_6938.png)
Распечатки билетов с travel.vtb.ru
![646645](https://www.klerk.ru/img/pb/original/2_4407.png)
Данные транзакций через «Сбербанк»
![978978978](https://www.klerk.ru/img/pb/original/3_7089.png)
«Сбербанк»
![6464654](https://www.klerk.ru/img/pb/original/4_4717.png)
Пример пользовательских данных из заказа интернет-магазина
![65464566](https://www.klerk.ru/img/pb/original/5_1355.png)
«Единый транспортный портал Москвы», dt-window.mos.ru
![6446665654465](https://www.klerk.ru/img/pb/original/6_8701.png)
«Единый транспортный портал Москвы», dt-window.mos.ru
![646446564546654](https://www.klerk.ru/img/pb/original/7_7856.png)
Вышеописанные три домена ВТБ, «Сбербанка» и «Единого транспортного портала Москвы» пренебрегают элементарными требованиями защиты данных — у них даже отсутствует файл robots.txt.
Как могло произойти так, что персональные данные — «Google Таблицы», отчёты с финансовыми показателями компаний в Power Bi могли попасть в выдачу поисковых систем?
Поисковые системы не могут получать доступ и читать информацию со страниц, которые требуют авторизации.
Современные системы требуют сложные пароли, пользователям не всегда удобно запоминать столько паролей, для их удобства доступа к личным страницам создатели сайтов придумали документы с уникальным длинным адресом из случайного набора символов, который невозможно угадать или получить перебором, пример: сайт.ру/проверить-статус-моего-заказа/orjY4mGPRjk5boDnW0uvlrrd71vZw9kphf8eGbhlTpS4q9cvHzFNngSdN. Проверяем защиту приведенного выше URL на предмет перебора:
Если быть более точным, то 18 миллиардов триллионов триллионов триллионов триллионов триллионов триллионов триллионов триллионов лет для перебора всех возможных вариантов. Звучит надёжно.
Как это работает: вам на email или в SMS приходит сообщение с такой ссылкой, и вроде бы логично, что только вы можете воспользоваться ей для просмотра, корректировки своих данных.
Но есть много способов, как поисковая система может узнать о ссылке — например, вы на каком-то полуприватном затерянном на окраинах интернета форуме, где сидите только вы, и пять ваших близких знакомых поделились этой ссылкой.
Поисковые системы регулярно переобходят даже самые малопосещаемые и никому неизвестные сайты, если они доступны для индексации роботам. Такая ссылка рано или поздно проиндексируется, и страница с личной информацией попадёт в индекс. В 2011 году был скандал с попавшими в выдачу SMS «Мегафона».
Продолжение в источнике vc.ru