ВТБ, «Сбербанк», официальный сайт мэра Москвы — утечки данных пользователей продолжаются

В связи с последними скандалами по утечке персональных данных сайт vc.ru разместил статью, где объяснили, почему это происходит и как с этим бороться. Рассказывает SEO-специалист, эксперт по поисковым системам в Rush Agency Павел Медведев.

На фоне всеобщей истерии в ленте по поводу «Google Документов» и Power Bi я ввёл старый запрос 2011 года, чтобы посмотреть, изменилась ли ситуация, и ужаснулся.

Раньше проблемы были в основном у мелких интернет-магазинов, сейчас информацию сливают и такие гиганты, как ВТБ, «Сбербанк», департамент транспорта Москвы, агрегаторы авиабилетов и многие другие. Я считаю, это связано с тем, что из-за кризиса многие хорошие специалисты и разработчики переориентировались на Запад, и качество кадров в ИТ снизилось. Примеры данных, которые можно найти в поисковой выдаче:

ВТБ, «Сбербанк», официальный сайт мэра Москвы — утечки данных пользователей продолжаются Помощь адвоката персональные данные

Распечатки билетов с travel.vtb.ru

ВТБ, «Сбербанк», официальный сайт мэра Москвы — утечки данных пользователей продолжаются Помощь адвоката персональные данные

Данные транзакций через «Сбербанк»

ВТБ, «Сбербанк», официальный сайт мэра Москвы — утечки данных пользователей продолжаются Помощь адвоката персональные данные

«Сбербанк»

ВТБ, «Сбербанк», официальный сайт мэра Москвы — утечки данных пользователей продолжаются Помощь адвоката персональные данные

Пример пользовательских данных из заказа интернет-магазина

ВТБ, «Сбербанк», официальный сайт мэра Москвы — утечки данных пользователей продолжаются Помощь адвоката персональные данные

«Единый транспортный портал Москвы», dt-window.mos.ru

ВТБ, «Сбербанк», официальный сайт мэра Москвы — утечки данных пользователей продолжаются Помощь адвоката персональные данные

«Единый транспортный портал Москвы», dt-window.mos.ru

ВТБ, «Сбербанк», официальный сайт мэра Москвы — утечки данных пользователей продолжаются Помощь адвоката персональные данные

Вышеописанные три домена ВТБ, «Сбербанка» и «Единого транспортного портала Москвы» пренебрегают элементарными требованиями защиты данных — у них даже отсутствует файл robots.txt.

Как могло произойти так, что персональные данные — «Google Таблицы», отчёты с финансовыми показателями компаний в Power Bi могли попасть в выдачу поисковых систем?

Поисковые системы не могут получать доступ и читать информацию со страниц, которые требуют авторизации.

Современные системы требуют сложные пароли, пользователям не всегда удобно запоминать столько паролей, для их удобства доступа к личным страницам создатели сайтов придумали документы с уникальным длинным адресом из случайного набора символов, который невозможно угадать или получить перебором, пример: сайт.ру/проверить-статус-моего-заказа/orjY4mGPRjk5boDnW0uvlrrd71vZw9kphf8eGbhlTpS4q9cvHzFNngSdN. Проверяем защиту приведенного выше URL на предмет перебора:

ВТБ, «Сбербанк», официальный сайт мэра Москвы — утечки данных пользователей продолжаются Помощь адвоката персональные данные

Если быть более точным, то 18 миллиардов триллионов триллионов триллионов триллионов триллионов триллионов триллионов триллионов лет для перебора всех возможных вариантов. Звучит надёжно.

Как это работает: вам на email или в SMS приходит сообщение с такой ссылкой, и вроде бы логично, что только вы можете воспользоваться ей для просмотра, корректировки своих данных.

Но есть много способов, как поисковая система может узнать о ссылке — например, вы на каком-то полуприватном затерянном на окраинах интернета форуме, где сидите только вы, и пять ваших близких знакомых поделились этой ссылкой.

Поисковые системы регулярно переобходят даже самые малопосещаемые и никому неизвестные сайты, если они доступны для индексации роботам. Такая ссылка рано или поздно проиндексируется, и страница с личной информацией попадёт в индекс. В 2011 году был скандал с попавшими в выдачу SMS «Мегафона».

Продолжение в источнике vc.ru

Источник

(Visited 115 times, 1 visits today)