В поиске «Яндекса» стали доступны статусы заказов из различных интернет-магазинов, включая секс-шопы. В публичном доступе оказались имена, фамилии и контактная информация клиентов. В «Яндексе» говорят, что причиной утечки стал некорректно составленный файл robots.txt, благодаря которому персональные данные покупателей можно увидеть и в выдаче Google.
В поисковых результатах «Яндекса» проиндексировались статусы заказов в интернет-магазинах. При наборе в поисковой строке «inurl:0 inurl:b inurl:1 inurl:c статус заказа» «Яндекс» выдает несколько страниц ссылок на информацию о заказах в различных магазинах.
Помимо статуса заказов по ссылкам можно увидеть ФИО клиента, его адрес и контактные данные, IP-адрес, наименование покупки, дату и время заказа. Среди магазинов, чьи статусы заказов стали доступны общественности - книжные, игровые, парфюмерные, а также магазины интим-товаров.
Напомним, что недавно по поводу выдачи персональной информации в поиске «Яндекса» уже разгорался скандал. В частности, на прошлой неделе в сеть утекли свыше 8 тыс. SMS-сообщений, отправленных с сайта «Мегафона».
Тогда в «Яндексе» заявили, что виной случившемуся стали админы оператора: по какой-то причине на момент индексации поисковыми роботами «Яндекса» в разделе отправки SMS-сообщений «Мегафона» отсутствовал файл robots.txt, с помощью которого обычно устанавливается запрет на индексацию тех или иных страниц сайта.
«Мегафон», в свою очередь, заявил, что виноватым в утечке может быть популярное расширение для браузеров «Яндекс.Бар». Представители оператора уверяли, что тексты отправленных сообщений хранятся на сайте лишь несколько минут, но они сохраняются в кэше браузера.
В связи с этим оператор рассмотрел версию, что «Яндекс.Бар» обеспечил поисковой системе «Яндекс» доступ к содержимому кэша браузеров. «Если это так, то у нас возникает вопрос, на каком основании «Яндекс» сделал частную информацию публично доступной», - недоумевал представитель «Мегафона».
В случае с нынешней публикацией в поисковой выдаче данных клиентов онлайн-магазинов можно заметить, что файлы robots.txt хотя и существуют, но составлены некорректно: в них отсутствуют строки, запрещающие индексацию страниц с персональными данными.
Некорректно составленные записи в файлах robots.txt привели к индексации страниц с персональными данными и в других поисковиках. Так, запрос в Google «site:Sexyz.Ru Статус заказа Получатель» приводит показу в поисковой выдаче заказов клиентки магазина Sexyz.ru.
Пресс-секретарь «Яндекса» Очир Манджиков порекомендовал администраторам сайтов «внимательно изучать информацию о файле robots.txt и его корректном использовании».
По мнению Игоря Ашманова, управляющего партнера «Ашманов и партнеры», в шуме вокруг подобных утечек могут быть заинтересованы российские компании, работающие в области информационной безопасности. «Скорее всего, они прочли историю про утечку SMS, поняли, что это полностью укладывается в их схему поиска уязвимостей и решили искать «уязвимости» в «Яндексе» или Google, для собственного пиара. А такого рода «уязвимостей» наверняка много", - говорит он.
Ответственность за подобного рода инциденты, по мнению Ашманова, лежит на веб-мастерах. «Яндекс» и Google не могут надежно распознать такого рода «уязвимость» (утечку), это слишком сложно», - говорит он, - «А вот веб-мастер, мог бы, к примеру, эти подтверждающие страницы показывать только пользователю, определяя его по сookie или IP, или не пускать роботов-поисковиков к ним. На худой конец, могли бы robots.txt настроить».
// Взято с http://www.cnews.ru/.