"Яндекс" стал участником очередного скандала, связанного с утечкой персональных данных. Кроме смс абонентов "Мегафона" поисковик нашел имена покупателей в онлайновых секс-шопах и бланки электронных билетов пассажиров РЖД. Это громкий сигнал к повышению безопасности в интернете, говорят участники рынка.
Электронные железнодорожные билеты, купленные через сайт RailwayTicket.ru, попали в поисковую выдачу крупнейшего российского поисковика "Яндекс".
При вводе определенного запроса поисковик выдает ссылки с информацией о заказанных через сервис билетах. Проиндексированные страницы содержат бланк электронного билета, в котором есть информация о фамилиях, именах и отчествах пассажиров, номерах поездов, датах их отправления, пунктах назначения и отправления.
Билеты, доступные в открытом доступе, имеют как уже просроченную дату отправления поезда, так и действующую дату.
"Сайт покупки билетов, информацию с которого выводит поисковая система, к ОАО "РЖД" не имеет никакого отношения. Сайт ОАО "РЖД" использует систему защиты персональных данных высокой степени надежности. Данные пассажиров, купивших билеты на поезда дальнего следования через сайт ОАО "РЖД" , в поисковых системах не индексируются. Доступ к информации о заказах, сделанных на сайте, может получить только пользователь, сделавший его. Для этого он должен на сайте войти в свой личный кабинет под собственным логином и паролем", - пояснили в компании.
Кроме того, добавили в РЖД, номера документов, на основании которых производится продажа билетов, кодируются и в бланке заказа отражаются не полностью.
В пресс-службе РЖД РИА Новости сообщили, что данный сайт не имеет отношения к компании.
Как ранее заявляла пресс-служба "Яндекса", индексирование страниц с персональными данными происходит из-за некорректного использования файла robots.txt. Во вторник "Яндекс" даже опубликовал заявление, в котором напомнила о правилах защиты персональных данных.
По этой же причине в понедельник в поисковую выдачу нескольких ресурсов, среди которых "Яндекс", Google, Поиск@Mail.Ru, Bing, попали данные пользователей, которые совершали покупки в различных интернет-магазинах. Роскомнадзор выявил более 80 онлайн-магазинов, допустивших утечку персональных данных своих покупателей.
На минувшей неделе в поисковой выдаче "Яндекса" оказались тысячи номеров и текстов SMS, отправленных с сайта оператора сотовой связи "МегаФон". Причиной данной утечки крупнейший российский поисковик также связывает с неправильным использованием файла robots.txt.
"МегаФон" и "Яндекс" попали в мировые тренды Twitter из-за утечки SMS
Сайт RailwayTicket.ru использует файл robots.txt, дата изменения которого - 26 июля 2011 года 14.43 мск. Это может означать, что файл был создан сегодня.
По словам менеджера компании "Информзащита" Олега Глебова, в поисковиках "тысячи" страниц с персональными данными покупателей, и эта информация представляет ценность для злоумышленников: зная e-mail, можно взломать страничку в социальной сети. Именно "Информзащита" распространила в сми новость об утечке данных в "Яндекс". Но это не собственное исследование компании, данные прислал человек, который "копал в "Яндексе", отметил Глебов. Большинство утечек так и находятся, добавляет Ашманов. "Можно просто сесть и изобрести десятки поисковых запросов, которые указывают на такие же уязвимости.
Сегодня поиск "Яндекса" проиндексировал порядка 100 страниц с паспортными данными пользователей известного сайта "Туту.ру". Предыдущие случаи, когда в поиск "Яндекса" попадали персональные данные, не содержали столь конфиденциальную информацию.
В поиске "Яндекса" выдаются имя, фамилия пользователя, его дата рождения, а также серия и номер паспорта. "Сейчас произошла такая же ситуация, как с "МегаФоном" и интернет-магазинами. "Яндекс" настроил свою поисковую машину так, что она находит уязвимости в системах интернет-компаний. Кроме того, есть люди, которые знают, по какому алгоритму работают поисковые роботы. В связи с последними событиями эти люди начали проверять определенные страницы на уязвимость и нашли разные дыры и лазейки, через которые утекает информация", — объясняет партнер адвокатского бюро "Корельский, Ищук, Астафьев и партнеры" Константин Суворов.
Как говорят эксперты, в утечке паспортных данных виноват не поисковик, а сайт, на котором вся информация хранилась. "Яндекс" только ищет информацию. Но если он индексирует паспортные данные людей, это означает, что их сбор на сайте "Туту.ру" осуществлялся по незащищенному протоколу. Именно "Туту.ру" несет ответственность за утечку и должен предпринимать все усилия, чтобы защитить свою информацию", — комментирует ситуацию Константин Суворов. "И это вовсе не проблема "Яндекса". Он, наоборот, обозначает эту проблему. Представьте себе, что бы произошло, если бы хакеры втихаря находили эти данные и пользовались ими, а люди бы не понимали, откуда это идет", — добавляет он.
"Сервис можно привлечь к административной ответственности, причем она будет очень существенная. Могут быть наложены какие-то санкции. Кроме того, люди имеют полное право объединиться, подать иски в Роскомнадзор и потребовать компенсации за моральный ущерб. Это не приведет к разорению компании, но существенно снизит ее репутацию", — говорит Константин Суворов.
Сегодня произошло уже несколько утечек информации из достаточно крупных компаний. Так, поиск "Яндекса" и Google выдал в открытый доступ более 50 тыс. страниц с информацией о покупателях онлайн-магазинов. Чуть позже поисковик проиндексировал около 37 тыс. страниц с фотографиями пользователей популярного мессенджера QIP. На прошлой неделе SMS-сообщения абонентов "МегаФона", отправленные с сайта оператора, оказались доступны в поисковой выдаче "Яндекса", всего поисковик проиндексировал более 8 тыс. результатов с текстами сообщений. Специалисты отмечают важную тенденцию: многие поставщики услуг не придают значения защите персональных данных, которые к ним попадают.
Социальные закладки