Яндекс продолжает жечь (5 фото)

В поиске ?Яндекса? стали доступны статусы заказов из различных интернет-магазинов, включая секс-шопы. В публичном доступе оказались имена, фамилии и контактная информация клиентов. В ?Яндексе? говорят, что причиной утечки стал некорректно составленный файл robots.txt, благодаря которому персональные данные покупателей можно увидеть и в выдаче Google.

В поисковых результатах ?Яндекса? проиндексировались статусы заказов в интернет-магазинах. При наборе в поисковой строке ?Яндекс? выдает несколько страниц ссылок на информацию о заказах в различных магазинах.

Помимо статуса заказов по ссылкам можно увидеть ФИО клиента, его адрес и контактные данные, IP-адрес, наименование покупки, дату и время заказа. Среди магазинов, чьи статусы заказов стали доступны общественности - книжные, игровые, парфюмерные, а также магазины интим-товаров.

Напомним, что недавно по поводу выдачи персональной информации в поиске ?Яндекса? уже разгорался скандал. В частности, на прошлой неделе в сеть утекли свыше 8 тыс. SMS-сообщений, отправленных с сайта ?Мегафона?.

Тогда в ?Яндексе? заявили, что виной случившемуся стали админы оператора: по какой-то причине на момент индексации поисковыми роботами ?Яндекса? в разделе отправки SMS-сообщений ?Мегафона? отсутствовал файл robots.txt, с помощью которого обычно устанавливается запрет на индексацию тех или иных страниц сайта.

?Мегафон?, в свою очередь, заявил, что виноватым в утечке может быть популярное расширение для браузеров ?Яндекс.Бар?. Представители оператора уверяли, что тексты отправленных сообщений хранятся на сайте лишь несколько минут, но они сохраняются в кэше браузера.

В связи с этим оператор рассмотрел версию, что ?Яндекс.Бар? обеспечил поисковой системе ?Яндекс? доступ к содержимому кэша браузеров. ?Если это так, то у нас возникает вопрос, на каком основании ?Яндекс? сделал частную информацию публично доступной?, - недоумевал представитель ?Мегафона?.

В случае с нынешней публикацией в поисковой выдаче данных клиентов онлайн-магазинов можно заметить, что файлы robots.txt хотя и существуют, но составлены некорректно: в них отсутствуют строки, запрещающие индексацию страниц с персональными данными.

Некорректно составленные записи в файлах robots.txt привели к индексации страниц с персональными данными и в других поисковиках. Так, запрос в Google ?site:Sexyz.Ru Статус заказа Получатель? приводит показу в поисковой выдаче заказов клиентки магазина Sexyz.ru.

Пресс-секретарь ?Яндекса? Очир Манджиков порекомендовал администраторам сайтов ?внимательно изучать информацию о файле robots.txt и его корректном использовании?.

По мнению Игоря Ашманова, управляющего партнера ?Ашманов и партнеры?, в шуме вокруг подобных утечек могут быть заинтересованы российские компании, работающие в области информационной безопасности. ?Скорее всего, они прочли историю про утечку SMS, поняли, что это полностью укладывается в их схему поиска уязвимостей и решили искать ?уязвимости? в ?Яндексе? или Google, для собственного пиара. А такого рода ?уязвимостей? наверняка много", - говорит он.

Ответственность за подобного рода инциденты, по мнению Ашманова, лежит на веб-мастерах. ?Яндекс? и Google не могут надежно распознать такого рода ?уязвимость? (утечку), это слишком сложно?, - говорит он, - ?А вот веб-мастер, мог бы, к примеру, эти подтверждающие страницы показывать только пользователю, определяя его по сookie или IP, или не пускать роботов-поисковиков к ним. На худой конец, могли бы robots.txt настроить?.

источник