ВТБ, «Сбербанк», официальный сайт мэра Москвы — утечки данных пользователей продолжаются

В связи с последними скандалами по утечке персональных данных сайт vc.ru разместил статью, где объяснили, почему это происходит и как с этим бороться. Рассказывает SEO-специалист, эксперт по поисковым системам в Rush Agency Павел Медведев.

На фоне всеобщей истерии в ленте по поводу «Google Документов» и Power Bi я ввёл старый запрос 2011 года, чтобы посмотреть, изменилась ли ситуация, и ужаснулся.

Раньше проблемы были в основном у мелких интернет-магазинов, сейчас информацию сливают и такие гиганты, как ВТБ, «Сбербанк», департамент транспорта Москвы, агрегаторы авиабилетов и многие другие. Я считаю, это связано с тем, что из-за кризиса многие хорошие специалисты и разработчики переориентировались на Запад, и качество кадров в ИТ снизилось. Примеры данных, которые можно найти в поисковой выдаче:

ВТБ, «Сбербанк», официальный сайт мэра Москвы — утечки данных пользователей продолжаются Помощь адвоката персональные данные

Распечатки билетов с travel.vtb.ru

ВТБ, «Сбербанк», официальный сайт мэра Москвы — утечки данных пользователей продолжаются Помощь адвоката персональные данные

Данные транзакций через «Сбербанк»

ВТБ, «Сбербанк», официальный сайт мэра Москвы — утечки данных пользователей продолжаются Помощь адвоката персональные данные

«Сбербанк»

ВТБ, «Сбербанк», официальный сайт мэра Москвы — утечки данных пользователей продолжаются Помощь адвоката персональные данные

Пример пользовательских данных из заказа интернет-магазина

ВТБ, «Сбербанк», официальный сайт мэра Москвы — утечки данных пользователей продолжаются Помощь адвоката персональные данные

«Единый транспортный портал Москвы», dt-window.mos.ru

ВТБ, «Сбербанк», официальный сайт мэра Москвы — утечки данных пользователей продолжаются Помощь адвоката персональные данные

«Единый транспортный портал Москвы», dt-window.mos.ru

ВТБ, «Сбербанк», официальный сайт мэра Москвы — утечки данных пользователей продолжаются Помощь адвоката персональные данные

Вышеописанные три домена ВТБ, «Сбербанка» и «Единого транспортного портала Москвы» пренебрегают элементарными требованиями защиты данных — у них даже отсутствует файл robots.txt.

Как могло произойти так, что персональные данные — «Google Таблицы», отчёты с финансовыми показателями компаний в Power Bi могли попасть в выдачу поисковых систем?

Поисковые системы не могут получать доступ и читать информацию со страниц, которые требуют авторизации.

Современные системы требуют сложные пароли, пользователям не всегда удобно запоминать столько паролей, для их удобства доступа к личным страницам создатели сайтов придумали документы с уникальным длинным адресом из случайного набора символов, который невозможно угадать или получить перебором, пример: сайт.ру/проверить-статус-моего-заказа/orjY4mGPRjk5boDnW0uvlrrd71vZw9kphf8eGbhlTpS4q9cvHzFNngSdN. Проверяем защиту приведенного выше URL на предмет перебора:

ВТБ, «Сбербанк», официальный сайт мэра Москвы — утечки данных пользователей продолжаются Помощь адвоката персональные данные

Если быть более точным, то 18 миллиардов триллионов триллионов триллионов триллионов триллионов триллионов триллионов триллионов лет для перебора всех возможных вариантов. Звучит надёжно.

Как это работает: вам на email или в SMS приходит сообщение с такой ссылкой, и вроде бы логично, что только вы можете воспользоваться ей для просмотра, корректировки своих данных.

Но есть много способов, как поисковая система может узнать о ссылке — например, вы на каком-то полуприватном затерянном на окраинах интернета форуме, где сидите только вы, и пять ваших близких знакомых поделились этой ссылкой.

Поисковые системы регулярно переобходят даже самые малопосещаемые и никому неизвестные сайты, если они доступны для индексации роботам. Такая ссылка рано или поздно проиндексируется, и страница с личной информацией попадёт в индекс. В 2011 году был скандал с попавшими в выдачу SMS «Мегафона».

Продолжение в источнике vc.ru

Источник

ВТБ, «Сбербанк», официальный сайт мэра Москвы — утечки данных пользователей продолжаются Помощь адвоката персональные данные

(Visited 72 times, 1 visits today)

Поделитесь с друзьями!

Читайте также

компании стали понемногу, но выигрывать Юрист Максим Юзвак подготовил обзор практики Верховного суда по налоговым делам. Если напротив номера дела стоит знак «минуса»,...
Как ДМС повышает лояльность сотрудников и что изменилось в корпоративных полисах Успех любой компании зависит не только от высокой прибыли и хорошей репутации, но и от мотивированности персонала. Один из самых ...
Появится новый ГОСТ по пожарной безопасности В РФ появится  ГОСТ по пожарной безопасности.  В соответствии с проектом документа, мероприятия по оценке рисков  возникновения возгорания на о...
Все про ВСД в системе «Меркурий» Меркурий – ближайшая планета солнечной системы. Но для производителей, перевозчиков и продавцов продовольственной продукции животног...
первый рабочий день в юркомпании Ощущения от первых дней работы в юридической компании у студентов и новичков запоминаются на всю жизн...
Сбербанк в июле запустит услугу по снятию наличных на кассах магазинов Сбербанк в июле 2019 года запустит услугу по снятию наличных на кассах магазинов. Сервис появится в торговых точках малого и среднего бизнеса, ...
Экс-президент Московского кредитного банка отправлен под домашний арест В субботу, 22 сентября, экс-президента Московского кредитного банка Александра Николашина отправили под домашний арест по подозрению в вымогате...