«Третья сторона» отправила Воложу данные клиентов ВТБ и «Сбербанка»

1355
0
13550

Аркадий Волож. Фото apptractor.ru

В поисковой выдаче «Яндекса» (принадлежит мальтийцу Аркадию Воложу) снова появились личные данные пользователей, пеердают «Ведомости». Теперь пострадали клиенты Сбербанка, ВТБ и департамента транспорта Москвы.

Интернет-пользователи снова стали получать в выдаче «Яндекса» информацию, похожую на персональные данные, обратил внимание специалист по работе с поисковыми системами агентства интернет-рекламы Rush Agency Павел Медведев. В понедельник ему удалось получить с помощью «Яндекса» якобы личные данные клиентов Сбербанка, ВТБ и департамента транспорта Москвы, сообщил он в блоге компании. Инцидентом заинтересовался Роскомнадзор. Ведомство проверяет, как эти организации соблюдают законодательство о персональных данных, и уже направило им запросы, сообщил представитель регулятора.

Вечером 17 июля Сбербанк и ВТБ еще не получали запрос Роскомнадзора, заверили их представители. Представитель «Яндекса» отказался это комментировать.

Ссылки в выдаче «Яндекса» вели напрямую на сайты банков и департамента транспорта. После первых публикаций об утечках большинство упомянутых сайтов перекрыли доступ к опубликованным персональным данным, рассказывает Медведев.

Сбербанк и ВТБ провели проверки по инцидентам, сообщили их представители. Информация по ссылкам якобы с технологических ресурсов Сбербанка не содержит персональных данных его клиентов и не несет для них риска, заверяет представитель Сбербанка. Инцидент в ВТБ произошел по вине третьей стороны, рассказывает представитель банка, но какой конкретно – не уточняет. Он также успокаивает, что информация, относящаяся к банковской тайне, к третьим лицам не попадала.

Меньше двух недель назад обнаружилась способность «Яндекса» к поиску по чужим документам Google Docs. Там были документы и с информацией, похожей на персональные данные; «Яндекс» выдавал даже результаты по запросу «пароли». Публикации об этом появились в ночь на 5 июля. Спустя несколько часов такая возможность пропала, что «Яндекс» не объяснил. Роскомнадзор также поинтересовался у «Яндекса» причинами произошедшего, но ответа пока не поступило.

Поисковый робот «Яндекса» индексирует только те документы, которые не запрещены при помощи специального файла robots.txt, заверял представитель «Яндекса» Илья Грабовский. Робот ходит по сайтам, копирует их цифровой образ, а затем выдает по запросам, объяснял ранее замруководителя лаборатории компьютерной Group-IB Сергей Никитин. А если документ или страница индексированы, они какое-то время будут в кэше вне зависимости от того, что права доступа к документу или странице изменены или контент был удален, указывал руководитель исследовательского центра «Лаборатории Касперского» Юрий Наместников.

Но разработчики любого сайта могут запретить его индексацию и полностью, и частично и тогда поисковики не смогут выдать их пользователям по запросу, уверял аналитик InfoWatch Сергей Хайрук.

В российском законодательстве сейчас нет понятия утечки персональных данных и, соответственно, ответственности за нее, отмечает управляющий партнер консалтингового агентства «Емельянников, Попова и партнеры» Михаил Емельянников. Роскомнадзор может только затребовать информацию об инциденте, провести проверку, а потом привлечь нарушителя к административной ответственности, перечисляет он.

Специалисты по поисковой оптимизации сайтов способны провести аудит сайта всего за несколько часов, но эту процедуру нужно постоянно повторять, указывает Медведев. Он не советует частным лицам проверять в поисковиках, не утекли ли их данные – ведь, вводя в строку поиска запрос со своими персональными данными, пользователь поневоле их распространяет.

Как сообщало агентство «Руспрес», утечка личных данных 50 миллионов американских пользователей «Фейсбука» привел к падению Facebook на 6% и политическому скандалу.

****

В открытый доступ попали данные клиентов Сбербанка и ВТБ

Не прошло и двух недель после скандала c Google Docs в поисковой выдаче «Яндекса», как обнаружилась новая утечка. Оказалось, что в выдаче поисковика можно найти и персональные данные некоторых пользователей Сбербанка, ВТБ, единого транспортного портала правительства Москвы и интернет-магазинов.

На то, что данные клиентов крупнейших российских интернет-сервисов (вплоть до сканов паспортов в высоком разрешении) можно найти в поисковой выдаче, обратил внимание специалист по поисковой оптимизации Павел Медведев. О том, как это могло произойти, он написал подробную статью.

В двух словах: как и в случае с Google Docs, наибольший риск утечки — у тех закрытых страниц, которые сервис показывает пользователю не по паролю, а в виде уникальной секретной ссылки с длинным адресом из случайного набора символов. Подобрать такой адрес невозможно даже с помощью специализированного ПО — но при отсутствии нужных мер предосторожности поисковик может его проиндексировать. Для этого даже не нужно, чтобы пользователь пересылал кому-то ссылку или публиковал ее в открытом доступе — многие плагины для браузеров Google Chrome и «Яндекс.браузер» (на них приходится 70% рынка) вполне легально собирают информацию о посещенных пользователем страницах и могут передавать информацию о них поисковику для индексации. По одной из основных версий, именно так в выдачу «Яндекса» попали закрытые Google Docs.

Основная вина в утечке при этом лежит на самих сервисах, справедливо указал в своем комментарии «Яндекс»: он не смог бы проиндексировать страницы с личными данными, если бы на их доменах был файл robots.txt, в котором прописываются ограничения доступа для поисковых роботов. Это «пренебрежение элементарными требованиями защиты данных», констатирует Павел Медведев в своей статье. Сбербанк пообещал провести по факту внутреннее расследование.

К сожалению, от «пренебрежения элементарными требованиями защиты данных» на стороне интернет-сервиса защититься невозможно никак — особенно если учесть, что его допустили крупнейшие компании. Но снизить возможность такой утечки можно — для этого надо проверить все плагины вашего браузера, внимательно прочитать пользовательские соглашения и везде, где это возможно, отключить возможность сбора данных для индексации поисковиками. Кроме того, теперь, когда вы имеете дело с закрытым документом, доступным по секретной ссылке, вы по крайней мере предупреждены.

Источник: The Bell, 17.07.2018

Руспрес

18.07.2018

Материалы по теме

«Третья сторона» отправила Воложу данные клиентов ВТБ и «Сбербанка»