Утечки хлынули как из ведра

В поисковых системах – включая Google и Yandex – во вторник можно было обнаружить заполненные бланки электронных билетов на поезда РЖД.

В поисковики попала информация о пассажирах, заказавших билеты через сервисы онлайн-бронирования TuTu.ru и Railwayticket.ru.

На страницах с заголовком "Бланк электронного билета" указываются ФИО пассажира, купившего билет, и лиц, которые следуют вместе с ним, последние цифры номеров их паспортов, пункт отправления и пункт назначения, номер поезда и номер места, а также даты поездки.

Всего пару дней назад поисковики давали доступ к текстам SMS, посланных с сайта "МегаФона", а также сведения о заказах из интернет-магазинов.

Специалисты по защите компании "Яндекс" объясняет утечку данных отсутствием на сайтах файла robots.txt с инструкциями для поисковых роботов.

Вчера "Яндекс" даже опубликовал на своем сайте разъяснение для вебмастеров о том, как защитить личную информацию пользователей.

Если интересует тема, то вот, что «Яндекс» пишет в своем разъяснении:

Прежде всего личную информацию посетителей сайта необходимо защитить, например, закрыть паролем. Если же такая информация никак не защищена, она запросто может стать доступна всем пользователям сети. Для этого достаточно оставить где-нибудь в интернете ссылку на страницу пользователя — хоть на страницу заказа, хоть на страницу регистрации.
Вторая важная вещь — необходимо запретить поисковым роботам индексировать страницы сайтов с информацией, которая не должна стать публичной. Для этого существует файл robots.txt. Это текстовый файл, который предназначен для роботов поисковых систем. В этом файле вебмастер может указать параметры индексирования своего сайта как для всех роботов сразу, так и для каждой поисковой системы по отдельности.

Когда какая-либо страница появляется на сайте то не важно, статический ли это html или динамически созданная серверным приложением страница, важно, что у страницы имеется текстовое содержимое, которое могут читать пользователи и индексировать поисковые системы. 
Разместив в интернете свою страницу, вебмастер ждет посетителей. Как он может рассказать людям о ней? 

Про страничку, куда еще не зашел ни один живой человек, могут знать тысячи программ по всему интернету:
•    поисковые системы, куда вебмастер отправил ссылку вручную;
•    блог-платформы и сокращатели ссылок;
•    поисковые системы, которые переиндексировали страницы с ссылками на эту (а зачастую это происходит очень быстро);
•    всевозможные анализаторы и подписчики RSS (если на сайте есть RSS), причем не только через RSS сайта, где расположена страничка, но и через RSS блогов, агрегаторов, блогов агрегаторов, агрегаторов блогов, агрегаторов агрегаторов и так далее;
•    компании-владельцы интернет-мессенджеров и провайдеры почтовых сервисов.

Если у странички стандартное имя, например, /admin или /login, ее быстро найдут всевозможные сканеры уязвимостей, которые постоянно обходят интернет.

И только теперь на страницу заходит первый пользователь. Например, сидя в интернет-кафе, человек кликнул по ссылке в Твиттере и перешел на страницу. Конечно, этот клик зафиксировал javascript системы статистики сайта — в данном случае Твиттера. Как правило, пользователь попадает на страницу через сервис сокращения ссылок, и переход осядет в логах этого сервиса.

Дальше браузер открывает страницу и начинает загружать объекты — картинки, анимацию, скрипты, css, рекламу, коды счетчиков и систем статистики. Если в браузере установлен антифишинговый или антивирусный плагин, он отправляет адрес посещенной страницы на проверку. В браузер могут быть встроены и другие плагины. Например, Яндекс.Бар или Google.Бар показывают ранг страницы, для чего передают ее адрес на сервер. Бывает так, что трафик пользователей в публичных местах пропускается через прокси-сервер — для защиты от атак, экономии IP-адресов или ускорения загрузки страниц. В этом случае все указанные взаимодействия пройдут через прокси-сервер, и он тоже узнает о странице. 
Если на страничке есть картинки или flash-объекты с других ресурсов, то о странице будут знать все эти ресурсы.

Если вебмастер использовал скрипты из внешней библиотеки, счетчики и системы сбора статистики, то о новой страничке будут знать все эти сервисы и их провайдеры. Данные получат прокси-серверы и серверы антивирусной и антифишинговой систем, встроенных в браузер. А также юноша, сидящий в кафе за соседним столиком и недавно прочитавший в молодежном журнале, как просматривать чужой трафик в публичных wifi-сетях.