CEO-специалист по работе с поисковыми системами, эксперт агентства Rush Agency Павел Медведев обнаружил, что многие крупные российские компании пренебрегают базовыми средствами безопасности данных своих клиентов.

Из-за их халатности через поисковые запросы в «Яндексе» можно найти сканы паспортов, билеты на самолет или поезд, данные о платежах в «Сбербанке» и многие другие персональные данные граждан России. Подобная ситуация недавно была с приватными документами из Google Docs, которые тоже на время появились в поиске. Но нынешняя утечка гораздо страшнее. «Я ввел старый запрос 2011 года, чтобы посмотреть, изменилась ли ситуация, и ужаснулся… Раньше проблемы были в основном у мелких интернет-магазинов, сейчас информацию сливают и такие гиганты, как ВТБ, „Сбербанк“, департамент транспорта Москвы, агрегаторы авиабилетов и многие другие», — сообщил Медведев.

Он показал, как с помощью поиска можно получить персональные данные россиян на сайтах мэрии Москвы mos.ru, «Сбербанка», ВТБ и других ресурсах. Их создатели не уделили достаточно внимания безопасности и поисковой оптимизации, что и стало причиной того, что страницы с персональными данными попали в поисковую выдачу «Яндекса».

Для примера эксперт из Rush Agency получил данные о нескольких десятках платежей через систему «Сбербанка». И таким же образом получил электронные билеты на поезд через сервис для покупки билетов банка ВТБ. Результаты он выложил в своем Facebook.

А на официальном сайте мэрии Москвы, через «Единый транспортный портал», можно найти сканы паспортов, водительских удостоверений и других документов.

Иронизируя, Медведев предполагает, что через полгода «Яндекс» наконец-то научится «индексировать javascript и проиндексирует все CVC коды карт клиентов „Аэрофлота“. Ну или может „Аэрофлот“ раньше узнает о существовании robots.txt». Эксперт также отмечает, что «Сбербанк» платит огромные зарплаты своим топ-менеджерам по безопасности, которые работу свою не выполняют.

«Я считаю, это связано с тем, что из-за кризиса многие хорошие специалисты и разработчики переориентировались на Запад, и качество кадров в ИТ снизилось», — пишет Медведев на портале VC.ru.

Для решения данной проблемы эксперт рекомендует IT-специалистам ограничить все страницы с персональными авторизацией через логин и пароль. Еще им нужно запретить роботам поисковых систем индексировать подобные страницы, чтобы в будущем избежать утечек данных. А вот пользователи на сохранность своих данных в этом случае повлиять не могут никак, остается только ждать обновлений систем безопасности этих сайтов.

Рассказывая о том, как могла произойти утечка, Медведев говорит, что «есть много способов, как поисковая система может узнать о ссылке — например, вы на каком-то полуприватном затерянном на окраинах интернета форуме, где сидите только вы, и пять ваших близких знакомых поделились этой ссылкой».

«Поисковые системы регулярно переобходят даже самые малопосещаемые и никому неизвестные сайты, если они доступны для индексации роботам. Такая ссылка рано или поздно проиндексируется, и страница с личной информацией попадет в индекс. В 2011 году был скандал с попавшими в выдачу SMS „Мегафона“...»

«Системы аналитики (счетчики, которые устанавливают на каждой странице сайта для исследования поведения посетителей на нем). Самые популярные в России — »Яндекс.Метрика" и Google Analytics. Заходим в настройки любого счетчика «Метрики» и видим по умолчанию опцию отправки страниц сайта в индексацию «Яндекс.Поиска. То есть все просмотренные пользователями страницы по умолчанию отправляются на индексацию, если не указан запрет, — пишет Медведев. — Но даже если установить запрет, приватные страницы все равно попадают в индекс. Потому что это один из множества источников данных поисковых систем. У Google есть браузер Chrome, у „Яндекса“ — »Яндекс.Браузер". На них приходится более 70% всех посетителей".

Медведев подчеркивает, что надо помнить о том, что «любая страница, доступная без авторизации, может рано или поздно попасть в индекс». Он подробно изложил, свои рекомендации для владельцев и разработчиков сайтов, как избежать таких утечек.

Как сообщает редакция VC.ru, представители «Сбербанка», комментируя утечки, заявили, что разбираются с описанной в статье ситуацией. «Уже сейчас можем сказать, что данных, которые могут нанести ущерб банку или клиентам здесь нет», — заверили в «Сбербанке».