В утечке данных через поисковики эксперты винят разработчиков сайтов
За минувшие десять дней в рунете произошли сразу три крупные утечки информации через поисковые системы.
Причиной попадания данных пользователей различных интернет-сервисов в поисковую выдачу является человеческий фактор - как правило, это ошибки разработчиков и администраторов сайтов.
Специалист по компьютерной криминалистике Group-IB Сергей Никитин считает, что последние крупные утечки произошли по двум причинам. «Во-первых, страницы находились в публичном, то есть открытом, доступе. Во-вторых, не было верно задано правило для поисковых роботов: не индексировать данные страницы».
За минувшие десять дней в рунете произошли сразу три крупные утечки информации через поисковые системы. 18 июля в выдачу популярных поисковиков попали тексты SMS, отправленные с сайта компании «МегаФон», а также номера телефонов получателей.
Спустя неделю в поиске были обнаружены ссылки на страницы со статусами заказов в различных интернет-магазинах. На этот раз в открытый доступ попали электронные адреса покупателей, перечень заказанных товаров, сумма покупки, адрес доставки и IP-адрес устройства, с которого был сделан заказ. По данным Роскомнадзора, были скомпрометированы клиенты более чем 80 интернет-магазинов.
Во вторник, 26 июля, в поисковой выдаче оказались электронные железнодорожные билеты, купленные или забронированные через сайты TuTu.ru и Railwayticket.ru. Поисковики при определенном запросе вместе с именами пассажиров выдавали информацию о датах и номерах рейсов. Если сведения о проездных документах подлинные, это, как и в случае с публикацией информации о клиентах интернет-магазинов, означает утечку персональных данных.
В пресс-службе «Яндекса» сообщали, что первые две утечки связаны либо с отсутствием, либо с некорректным использованием на сайтах файла robots.txt, который содержит описание правил индексирования для поисковых роботов.
Специалисты Group IB выяснили, что на некоторых ресурсах, данные с которых попали в интернет, файл robots.txt был вообще не заполнен. «Администраторы этих сайтов не предпринимали никаких действий по ограничению доступа к веб-страницам», - отмечает Никитин.
«Яндекс» призывает разработчиков сайтов внимательно изучить инструкции по корректному использованию файла robots.txt и исполнять их.
