Личные данные россиян оказались в поисковой выдаче «Яндекса». Как выяснили эксперты, сервис проиндексировал конфиденциальные данные, содержащиеся на сайтах ВТБ и «Сбербанка», Департамента транспорта Москвы и билетного агрегатора Trip.ru. По информации специалистов, любой желающий мог найти сведения о паспортных данных, банковских платежах и маршрутных квитанциях пользователей этих ресурсов.

Проблему обнаружил SEO-аналитик Павел Медведев. Он выяснил, что результаты поисковых запросов содержат информацию, подпадающую под закон о защите персональных данных. На своей странице в Facebook специалист утверждает, что администраторы скомпрометированных сайтов пренебрегли элементарными требованиями безопасности.

Того же мнения придерживаются представители «Яндекса». Как пояснили специалисты компании, поисковый робот индексирует все данные, на которые ему дает разрешение администратор ресурса. Страницы, не включенные в стоп-лист файла robot.txt, попадают в выдачу сервиса. У сайтов, допустивших поисковик к конфиденциальным файлам, таких настроек не было.

«Сбербанк» пообещал провести собственное расследование инцидента и выяснить, каким образом информация о клиентах банка попала в открытый доступ. При этом представители финансовой организации отметили, что поисковая выдача не содержит данных, которые могли нанести ущерб компаниям или частным лицам. ВТБ и другие компании, которые затронула утечка, пока не прокомментировали сложившуюся ситуацию.

Интернет-омбудсмен Дмитрий Мариничев указал на еще один аспект проблемы: «С приходом смартфонов и ноутбуков сотрудники начали использовать свои личные вычислительные средства в корпоративных сетях. В результате большое количество различных компаний передают документы путем мессенджеров, используя те же самые виртуальные диски, на которых расшаривают папки»

Другая проблема, связанная с безопасностью данных, — работа скриптов, собирающих сведения о поведении посетителя сайта. Как считают ИБ-эксперты, информация, полученная аналитическим сервисом «Яндекс.Метрика» и другими службами, может выдать личность пользователя. Специалисты также отметили слабую защиту таких систем. Так, «Яндекс.Метрика» и Hotjar отправляют сведения о клиентах через HTTP-соединение, что открывает возможность для MITM-атак.

Категории: Другие темы