Утечки хлынули как из ведраВ поисковых системах – включая Google и Yandex – во вторник можно было обнаружить заполненные бланки электронных билетов на поезда РЖД. В поисковики попала информация о пассажирах, заказавших билеты через сервисы онлайн-бронирования TuTu.ru и Railwayticket.ru. На страницах с заголовком "Бланк электронного билета" указываются ФИО пассажира, купившего билет, и лиц, которые следуют вместе с ним, последние цифры номеров их паспортов, пункт отправления и пункт назначения, номер поезда и номер места, а также даты поездки. Всего пару дней назад поисковики давали доступ к текстам SMS, посланных с сайта "МегаФона", а также сведения о заказах из интернет-магазинов. Специалисты по защите компании "Яндекс" объясняет утечку данных отсутствием на сайтах файла robots.txt с инструкциями для поисковых роботов. Вчера "Яндекс" даже опубликовал на своем сайте разъяснение для вебмастеров о том, как защитить личную информацию пользователей. Если интересует тема, то вот, что «Яндекс» пишет в своем разъяснении: Прежде всего личную информацию посетителей сайта необходимо защитить, например, закрыть паролем. Если же такая информация никак не защищена, она запросто может стать доступна всем пользователям сети. Для этого достаточно оставить где-нибудь в интернете ссылку на страницу пользователя — хоть на страницу заказа, хоть на страницу регистрации. Когда какая-либо страница появляется на сайте то не важно, статический ли это html или динамически созданная серверным приложением страница, важно, что у страницы имеется текстовое содержимое, которое могут читать пользователи и индексировать поисковые системы. Про страничку, куда еще не зашел ни один живой человек, могут знать тысячи программ по всему интернету: Если у странички стандартное имя, например, /admin или /login, ее быстро найдут всевозможные сканеры уязвимостей, которые постоянно обходят интернет. И только теперь на страницу заходит первый пользователь. Например, сидя в интернет-кафе, человек кликнул по ссылке в Твиттере и перешел на страницу. Конечно, этот клик зафиксировал javascript системы статистики сайта — в данном случае Твиттера. Как правило, пользователь попадает на страницу через сервис сокращения ссылок, и переход осядет в логах этого сервиса. Дальше браузер открывает страницу и начинает загружать объекты — картинки, анимацию, скрипты, css, рекламу, коды счетчиков и систем статистики. Если в браузере установлен антифишинговый или антивирусный плагин, он отправляет адрес посещенной страницы на проверку. В браузер могут быть встроены и другие плагины. Например, Яндекс.Бар или Google.Бар показывают ранг страницы, для чего передают ее адрес на сервер. Бывает так, что трафик пользователей в публичных местах пропускается через прокси-сервер — для защиты от атак, экономии IP-адресов или ускорения загрузки страниц. В этом случае все указанные взаимодействия пройдут через прокси-сервер, и он тоже узнает о странице. Если вебмастер использовал скрипты из внешней библиотеки, счетчики и системы сбора статистики, то о новой страничке будут знать все эти сервисы и их провайдеры. Данные получат прокси-серверы и серверы антивирусной и антифишинговой систем, встроенных в браузер. А также юноша, сидящий в кафе за соседним столиком и недавно прочитавший в молодежном журнале, как просматривать чужой трафик в публичных wifi-сетях. 27.07.2011, 00:23 | 1713 просмотров Категории: Скандалы Тэги: интернет, утечки данных |