В прошлый понедельник мы с вами были шокированы тем, что личные SMS абонентов «Мегафона» попали в Яндекс. Много шума поднялось в основном потому, что замешана во всем была крупнейшая компания-оператор связи. Но по факту, на что потом особенно упирал «Мегафон», никаких личных данных разглашено не было, — ни имен, ни номеров паспортов, да и телефонный номер засветился только у принимающей стороны. То, что обнаружилось сегодня, гораздо более серьезно, хоть этому и не придали столь большого значения, как истории с «Мегафоном». Но для начала очень хороший твит от Бобука:
Да-да, все верно. Может быть, эти SMS-ки «Мегафон» выкладывал в общий доступ годами, но никто не думал сделать специальный запрос, чтобы Яндекс мог их выдать. Та же история с сайтом prm.ru, личные SMS-ки с которого тоже обнаружились в поисковой выдаче.
После истории с «Мегафоном» инициативные товарищи кинулись выдумывать запросы и находить данные, которые не должны были выйти на публику. Так, например, обнаружилось, что проиндексированы частные фотоальбомы в сервисе МТС, файлы пользователей QIP, и выписки из онлайн-банкинга украинского ПриватБанка (вот тебе и приват, ага). UPD: а теперь и билеты РЖД, билеты на самолет — с датами, именами пассажиров и номерами паспортов! И снова UPD: правительственные документы для служебного пользования!
Ну а сегодня рунет добрался до интернет-магазинов. Особую популярность у посетителей сети получила ссылка на результаты поиска по магазину интимных товаров.
В закешированной странице мы видим имя и фамилию покупателя, его полный домашний адрес и список его покупок. Весь рунет теперь знает, что «Иван Иванов из Липецка» купил мужские стринги, костюм шаловливой медсестры и фаллоимитатор. При этом Иван Иванов проживает по такой-то улице в таком-то доме, имеет такой-то email и такой-то IP. Весело? Пожалуй. Но только не Ивану Иванову, если бы он знал. Теперь его знакомые теоретически могут узнать его по имени, подтвердить все по адресу и просить показать стринги. Но это еще мелочи, лично мне было бы не по себе, если бы весь интернет мог видеть мое ФИО и домашний адрес.
Кстати, в истории замешан далеко не только Яндекс — с помощью аналогичных запросов данные по клиентам интернет-магазинов выдают и Google, и Bing, и даже Mail.ru.
Как было замечено на roem.ru, во всех магазинах, ссылки на которые выдают поисковики, используется движок Shop-Script, в функциях которого есть просмотр данных заказа по специальной ссылке без авторизации. А, как мы с вами поняли еще по истории с «Мегафоном», ничем не защищенный URL (пусть даже самый сложный и страшный с виду) плюс пустой или неправильно заполненный файл robots.txt (который может запретить поисковику индексирование страницы) позволяют поисковым системам найти все, что, по заблуждению вебмастера, скрыто. Об этом очень хорошо написал специалист по безопасности из Яндекса в своей статье «Почему находится все«.
UPD: ответ от создателей магазинного движка. Они винят Яндекс-Метрику. +Их же статья на Хабре.
Такая вот нехорошая история. Самое обидное, что если «Мегафон» подсуетился и за считанные часы сделал так, чтобы SMS его абонентов больше не выдавались поисковиками, то в случае с кучей мелких интернет-магазинов все будет сложнее и дольше. Хотелось бы верить, что и Яндекс, и Гугл, и Бинг с Мэйлом сами почистят хотя бы то, о чем пестрит интернет.
Конечно, это не дело поисковиков, изучать, насколько приватные данные на странице. Поисковые роботы ходят и индексируют информацию. Следить за тем, чтобы личные данные не попали в общий доступ, должны веб-мастера. Надеюсь, самые нерадивые из них после громких историй конца этого июля вынесут для себя что-то полезное.