В "Яндексе" новая утечка: можно найти и скачать сканы паспортов
Спустя две недели после скандала c Google Docs в поисковой выдаче "Яндекса" обнаружилась новая утечка. В начале июля СМИ писали, что в поисковике можно найти документы сервиса Google Docs, в том числе пароли к кредитным картам. В этот раз оказалось, что в выдаче поисковика можно найти персональные данные некоторых пользователей Сбербанка, ВТБ, РЖД, единого транспортного портала правительства Москвы и интернет-магазинов.
На это обратил внимание SEO-специалист, эксперт по поисковым системам Павел Медведев. О том, как это могло произойти, он написал подробную статью на vc.ru. Специалист отметил, что в поисковике можно найти и скачать сканы документов и паспортов в высоком разрешении.
Как и в случае с Google Docs, наибольший риск утечки - у закрытых страниц, которые сервис показывает пользователю не по паролю, а в виде уникальной секретной ссылки с длинным адресом из случайного набора символов. Современные системы требуют сложные пароли, и пользователям не всегда удобно запоминать их, поэтому для доступа к личным страницам создатели сайтов придумали документы с уникальным адресом.
Подобрать такой адрес невозможно даже с помощью специализированного ПО, но при отсутствии нужных мер предосторожности поисковик может его проиндексировать.
"Яндекс" переложил вину на сервисы. В компании указали, что поисковик не смог бы проиндексировать страницы, если бы на их доменах был файл robots.txt, в котором прописываются ограничения доступа для поисковых роботов. Павел Медведев назвал это "пренебрежением элементарными требованиями защиты данных".
- Раньше проблемы были в основном у мелких интернет-магазинов, сейчас информацию сливают и такие гиганты, как ВТБ, "Сбербанк", департамент транспорта Москвы, агрегаторы авиабилетов и многие другие. Я считаю, это связано с тем, что из-за кризиса многие хорошие специалисты и разработчики переориентировались на Запад, - пишет специалист.
Как защититься от утечки данных
От "пренебрежения элементарными требованиями защиты данных" на стороне интернет-сервиса защититься невозможно никак, особенно если учесть, что его допустили крупнейшие компании, пишет The Bell. Но снизить возможность такой утечки можно - для этого надо проверить все плагины вашего браузера, внимательно прочитать пользовательские соглашения и везде, где это возможно, отключить возможность сбора данных для индексации поисковиками.
Помните, что, устанавливая браузеры, вы соглашаетесь с возможной обработкой, отправкой браузером анонимных данных о просмотрах и так далее.
Павел Медведев добавил, что пароли и личные данные всегда попадали в индекс, просто не в таких масштабах. Ранее сервисами Google пользовались только айтишники, а теперь таблицы создают даже воспитатели детских садов и мамочки, составляющие план покупок.
Какая информация появилась благодаря утечкам
"Медуза" писала, что можно найти из-за утечек. Так, "Тинькофф-банк" якобы не нанимает мужчин "кавказской национальности" и людей "с неславянскими ФИО" за исключением армян и дагестанцев с опытом работы в банках. Блогер Илья Варламов утверждал, что нашел отчет, составленный сотрудниками администрации Екатеринбурга, в котором чиновники указывали, как ответить на его негативные публикации о городе. В документе требовали подготовить репортаж от имени "местного жителя и блогера" "об удобстве парков и улиц Екатеринбурга".
Google подтвердила, что письма Gmail могут читать другие люди
Ранее компания Google подтвердила, что частную переписку в Gmail иногда могут читать другие люди, работающие на разработчиков сторонних приложений, а не только алгоритмы. Люди, привязавшие к своему аккаунту определенные приложения, могли, сами того не осознавая, разрешить разработчикам просматривать свою электронную переписку.
Google разрешает пользователям присоединять к своему аккаунту приложения сторонних разработчиков, например, помогающие при заказе билетов или сравнивающие цены товаров и услуг. В таком случае у пользователей спрашивают, согласны ли они, что разработчики приложений получат доступ к содержимому их почтового ящика.
Иногда подобное согласие подразумевает, что сотрудники компаний-разработчиков приложений получают доступ к переписке пользователя.
