В прошлый понедельник мы с вами были шокированы тем, что личные SMS абонентов «Мегафона» попали в Яндекс. Много шума поднялось в основном потому, что замешана во всем была крупнейшая компания-оператор связи. Но по факту, на что потом особенно упирал «Мегафон», никаких личных данных разглашено не было, — ни имен, ни номеров паспортов, да и телефонный номер засветился только у принимающей стороны. Дальнейшие изыскания пользователей интернета привели к гораздо более серьезным находкам.
Так, например, обнаружилось, что проиндексированы SMS, отправленные с сайта prm.ru, частные фотоальбомы в сервисе МТС, выписки из онлайн-банкинга украинского ПриватБанка, а также заказы в интернет-магазинах, включая секс-шопы (с полными ФИО и домашним адресом покупателя). Сегодняшний день принес новые открытия - в публичном доступе есть файлы, передаваемые друг другу пользователями IM-клиента QIP, а также билеты на поезда и самолеты с номерами паспортов людей и их именами. Кроме того, умельцам удалось найти правительственные документы для служебного пользования.
Во всех историях замешан далеко не только Яндекс. К примеру, личные данные клиентов интернет-магазинов выдают и Bing, и Google и Mail.ru.
Как отмечают представители Яндекса, они лишь занимаются индексацией страниц в сети и неспособны анализировать каждую на предмет наличия в ней чьих-то персональных данных. Причиной всех "утечек" стали глупые ошибки администраторов ресурсов. Во-первых, их сервисы создают ничем не защищенную страницу, на которой публикуется личная информация. Обычно у этой страницы очень сложный адрес и она нигде на сайте не афишируется - ее видит только пользователь. Однако у страницы все равно есть шансы попасть в "большой интернет", как именно, хорошо описал специалист по безопасности из Яндекса в своей статье «Почему находится все».
Основная ошибка администраторов таких сайтов - пустой или неправильно заполненный файл robots.txt (который может запретить поисковику индексирование страницы). Впрочем, пострадавшие стороны также пытаются "кивать" на Яндекс. "Мегафон", к примеру, на прошлой неделе заявлял, что поисковик не имел права индексировать и публиковать персональные данные. А создатели платформы для интернет-магазинов, данные покупателей из которых были проиндексированы поисковыми роботами, обвинили во всем сервис "Яндекс.Метрика", который "стучит" в Яндекс о новых URL (запись в блоге разработчиков, статья на Хабре). Яндекс в свою очередь говорит, что было бы странно не использовать данные "Метрики" для оперативного получения новых URL, а виноваты администраторы, небрежно относящиеся к защите информации на своих порталах.
Пока стороны публикуют свои мнения, имена, адреса, личные заказы, номера паспортов обычных людей гуляют по сети. И кто знает, как этим могут воспользоваться злоумышленники! Самое обидное, что если «Мегафон» подсуетился и за считанные часы сделал так, чтобы SMS его абонентов больше не выдавались поисковиками, то в случае с кучей мелких сайтов и магазинов все будет сложнее и дольше.
По сети уже ходят шутки о том, что в кэше Яндекса нашли святой грааль, янтарную комнату и смысл жизни. Все это смешно, но кто знает, какие еще персональные данные умельцы "выудят" из поисковиков? Надеюсь, самые нерадивые из администраторов сайтов после громких историй конца июля вынесут для себя что-то полезное и исправят ошибки.
О.А., "Мир ПК"