Персональные данные легко доступны
По Сети идет волна раскрытия персональных данных: фамилии, имена, заказы, электронные копии билетов и даже некоторые юзернеймы и почтовые адреса пользователей "Лепры" доступны в поисковиках. В ситуации вовсю разбирается Роскомнадзор
Москва. 26 июля. INTERFAX.RU - Не прошло и недели после скандала между оператором мобильной связи "Мегафон" и поисковой системой "Яндекс" по поводу публикации в открытом доступе по определенному запросу содержания смс, отправленных с сайта пользователями, как история повторилась снова. Причем, фигурирует в ней тот же "Яндекс". Во вторник в сети стали доступны фамилии и имена клиентов интернет-магазинов - вместе с данными об их покупках, IP, а так же прочей информацией, которую покупатель вводил при совершении операции. В числе магазинов оказались те, что торгуют секс-игрушками, в числе поисковиков, сделавших доступными эти данные для всех любопытных, помимо "Яндекса", Google, Bing и Mail.ru.
В самой компании "Яндекс" сообщили, что, как и в ситуации с "Мегафоном", утечка информации произошла из-за некорректного использования программы, которая защищает данные от индексирования поисковиком - robots.txt. Программа помогает определить, что из имеющегося на сайте можно сделать доступным общественности, а что оставить в приватном листе. Специалисты утверждают, что виноваты владельцы интернет-магазинов, которые попросту не смогли защитить данные своих покупателей.
Инцидент стал объектом внимания Роскомнадзора, который начал проверку фактов нарушения законодательства. Согласно информации, размещенной на сайте ведомства, на настоящий момент выявлено уже 80 сетевых магазинов, которые допустили раскрытие персональных данных клиентов в Сети. В течение 26 июля планируется установить данные владельцев данных "точек" и передать информацию о них в органы прокуратуры для принятия мер прокурорского реагирования. Как указывается в сообщении, раскрытие персональных данных клиентов является нарушением требований конфиденциальности персональных данных. Там отмечается, что во вторник Служба также направила письмо "президенту Национальной ассоциации дистанционной торговли Александру Иванову с приглашением в Роскомнадзор с целью обсуждения сложившейся ситуации и выработки мер по недопущению нарушений требований конфиденциальности персональных данных. В компанию "Яндекс" направлено письмо с просьбой рассмотреть техническую возможность предоставления пользователям отказа в обработке запросов, позволяющих получить доступ к персональным данным граждан", - говорится в сообщении ведомства. По словам представителя Роскомнадзора Михаила Воробьева, помимо "Яндекса" аналогичные письма направлены в компании Mail.ru Group, Google и Microsoft.
В поисковой системе "Яндекс" оказались доступны данные покупателей электронных билетов на поезда, а также копии приобретенных ими билетов на сайте Railwayticket.ru. При введении определенного запроса любой пользователь может ознакомиться с многостраничной выдачей ресурса railwayticket.ru, в которой, среди прочего, находятся и пользовательские данные, номера заказов и транзакций, а также паспортные данные (номера и серии паспортов приводятся не целиком, а лишь несколько цифр).
"Данные на нашем ресурсе были защищены теми методами, которые, как мы предполагали достаточны; но, очевидно, какой-то сбой позволил этой информации просочиться в поисковую выдачу "Яндекса". Сейчас мы делаем все, чтобы эта ситуация не повторилась. В настоящий момент выдача в поисковик прекращена. Мы будем консультироваться с поисковыми системами на предмет того, как лучше защитить данные, потому что, как показала практика, файл robot.txt не всегда работает так, как нужно", - сообщил во вторник "Интерфаксу" Иван Самошин, руководитель и создатель Railwayticket.ru.
Помимо этого можно найти и запросы о смене пароля, которые делали пользователи одного из закрытых сетевых ресурсов "Лепрозорий". В поисковой выдаче отображается имя пользователя, а также его e-mail. Правда, объем выдачи здесь минимальный.
"Яндекс", со своей стороны, еще раньше был наготове: специалисты компании, наученные горьким опытом (благодаря пользователям сайте "Мегафон", отправляющим смски в режиме онлайн) опубликовали рекомендации для владельцев сайтов и веб-мастеров. В этих рекомендациях разъясняются механизмы попадания заведомо приватной информации в общий доступ. В частности, еще ранее пресс-служба разместила рекомендацию "администраторам сайтов внимательно изучать информацию о файле robots.txt http://help.yandex.ru/webmaster/?id=996567 и его корректном использовании". "Личную информацию посетителей сайта необходимо защитить, например, закрыть паролем. Если же такая информация никак не защищена, она запросто может стать доступна всем пользователям Сети. Для этого достаточно оставить где-нибудь в Интернете ссылку на страницу пользователя - хоть на страницу заказа, хоть на страницу регистрации", - говорится в разъяснении Владимира Иванова, представителя службы информационной безопасности "Яндекса". "Вторая важная вещь - необходимо запретить поисковым роботам индексировать страницы сайтов с информацией, которая не должна стать публичной. Для этого существует файл robots.txt. Это текстовый файл, который предназначен для роботов поисковых систем. В этом файле вебмастер может указать параметры индексирования своего сайта как для всех роботов сразу, так и для каждой поисковой системы по отдельности", - подчеркивается в сообщении.
Касаясь же ситуации с железнодорожными билетами, то представители "Яндекса" пояснили, что "в момент индексации на сайте RailwayTicket.ru был файл robots.txt, но он не запрещал индексирование того раздела, данные из которого и попали в поисковые базы. На данный момент администратор сайта запретил индексацию этого раздела в файле robots.txt. Поэтому скоро все страницы этого раздела будут недоступны в результатах поиска "Яндекса".
Согласно замечаниям специалистов, виноват происходящем не только "Яндекс", но и, как уже было сказано, другие поисковики - Bing, Google и Mail.ru. Авторы статьи по данному вопросу на сайте Webplanet, однако, приписывают весь груз ответственности преимущественно "Яндексу". "По нашим собственным наблюдениям, это заявление [..] верно лишь в отношении Google, а вот в выдаче Mail.ru и Bing по соответствующим поисковым запросам мы не увидели ничего значимого", - пишет ресурс. Кроме того, автор заметки приходит к выводу о том, что основной путь публикации подобных отчетов в открытом доступе лежит через сервисы "Яндекса" - "Яндекс.Бар" и "Яндекс.Метрика". "Что касается шпионских функций "Яндекс.Бара", то о них компания заявляет вполне открыто, достаточно лишь внимательно изучить пользовательское соглашение, особенно его пятый пункт. Но если этого текста кому-то будет недостаточно, то вот здесь можно найти результаты анализа трафика, которым "Бар" обменивается с "Яндексом", - размышляет автор текста.