ВТБ, «Сбербанк», официальный сайт мэра Москвы — утечки данных пользователей продолжаются
В связи с последними скандалами по утечке персональных данных решили написать статью, где подробно объясним, почему это происходит и как с этим бороться. Рассказывает SEO-специалист, эксперт по поисковым системам в Rush Agency Павел Медведев.
На фоне всеобщей истерии в ленте по поводу «Google Документов» и Power Bi я ввёл старый запрос 2011 года, чтобы посмотреть, изменилась ли ситуация, и ужаснулся.
Раньше проблемы были в основном у мелких интернет-магазинов, сейчас информацию сливают и такие гиганты, как ВТБ, «Сбербанк», департамент транспорта Москвы, агрегаторы авиабилетов и многие другие. Я считаю, это связано с тем, что из-за кризиса многие хорошие специалисты и разработчики переориентировались на Запад, и качество кадров в ИТ снизилось. Примеры данных, которые можно найти в поисковой выдаче:
Вышеописанные три домена ВТБ, «Сбербанка» и «Единого транспортного портала Москвы» пренебрегают элементарными требованиями защиты данных — у них даже отсутствует файл robots.txt.
Как могло произойти так, что персональные данные — «Google Таблицы», отчёты с финансовыми показателями компаний в Power Bi могли попасть в выдачу поисковых систем?
Поисковые системы не могут получать доступ и читать информацию со страниц, которые требуют авторизации.
Современные системы требуют сложные пароли, пользователям не всегда удобно запоминать столько паролей, для их удобства доступа к личным страницам создатели сайтов придумали документы с уникальным длинным адресом из случайного набора символов, который невозможно угадать или получить перебором, пример: сайт.ру/проверить-статус-моего-заказа/orjY4mGPRjk5boDnW0uvlrrd71vZw9kphf8eGbhlTpS4q9cvHzFNngSdNNIG8H5Lt3. Проверяем защиту приведенного выше URL на предмет перебора:
Как это работает: вам на email или в SMS приходит сообщение с такой ссылкой, и вроде бы логично, что только вы можете воспользоваться ей для просмотра, корректировки своих данных.
Но есть много способов, как поисковая система может узнать о ссылке — например, вы на каком-то полуприватном затерянном на окраинах интернета форуме, где сидите только вы, и пять ваших близких знакомых поделились этой ссылкой.
Поисковые системы регулярно переобходят даже самые малопосещаемые и никому неизвестные сайты, если они доступны для индексации роботам. Такая ссылка рано или поздно проиндексируется, и страница с личной информацией попадёт в индекс. В 2011 году был скандал с попавшими в выдачу SMS «Мегафона». Тогда я даже провёл семантический анализ текстов этих SMS.
Системы аналитики (счётчики, которые устанавливают на каждой странице сайта для исследования поведения посетителей на нём). Самые популярные в России — «Яндекс.Метрика» и Google Analytics.
Заходим в настройки любого счётчика «Метрики» и видим по умолчанию такие опции:
Но даже если установить запрет, приватные страницы всё равно попадают в индекс. Потому что это один из множества источников данных поисковых систем.
У Google есть браузер Chrome, у «Яндекса» — «Яндекс.Браузер». На них приходится более 70% всех посетителей.
Когда вы скачиваете какую-нибудь бесплатную программу, часто с ней агрессивно навязываются программы и плагины для браузера от поисковых систем, которые многие специалисты расценивают как дополнительный канал для анализа трафика и поведения пользователей.
Помимо этого, поисковые системы могут покупать анонимизированные данные о трафике, просмотренных сайтах или страницах, как это делает известный сервис SimilarWeb.
Ваша секретная ссылка уже не выглядит такой защищённой?
Представьте ситуацию: вы купили авиабилет с вылетом через полгода, вам пришла SMS с ссылкой для просмотра и редактирования информации в личном кабинете. Вы перешли на неё в телефоне, проверили и забыли.
Тем временем ваш мобильный «Яндекс.Браузер», Android или счётчик метрики сообщил поисковику, что появилась неизвестная ранее страница, робот проверил — страница работает, проиндексировал её через какое-то время.
Потом злоумышленник вбивает в поиск запрос вроде «билет на Бали октябрь изменить бронирование» — попадает в ваш личный кабинет, переписывает фамилию на свою и через полгода улетает вместо вас. (Можно представить, что и такие сайты существуют, которые даже не предупредят об изменении и не запросят дополнительное подтверждение или авторизацию.)
Легально ли, что поисковики собирают такую информацию
Поисковый робот не знает — персональные ли данные в файле. Коммерческая ли тайна в таблицах с финансовыми показателями или, наоборот, вы хотели бы делиться этой информацией со всеми. Он переходит по страницам, доступ к которым не закрыт владельцами сайта.
Часто структура и навигация сайтов очень запутанные, используются различные хитрые JavaScript, так что попасть на полезные страницы по ссылкам с главной страницы поисковикам бывает просто невозможно. В этом случае выглядит логичным получать адреса страниц для индексации из максимального числа источников.
Кто виноват в сложившейся ситуации
Я считаю, что 80% вины лежит на владельцах сайтов, которые не обеспечивают должного качества разработки и оптимизации. Как специалист по поисковой оптимизации сайтов с 12-летним опытом могу сказать, что большинство сайтов до доработки SEO-специалистами выглядят плачевно, владельцы словно живут в параллельном мире без киберугроз, без поисковых систем, ботов, которые могут проиндексировать личные данные пользователей.
20% отдал бы поисковикам за то, что они недостаточно освещают свои механизмы ранжирования и индексации. Часто сталкиваешься с непониманием от разработчиков сайтов: «Как же поисковые системы проиндексируют страницу, ведь у них нет ссылки этой страницы?». Такие же вопросы часто слышу даже от специалистов по SEO.
Большинство современных разработчиков считает, что документ, доступный по длинной уникальной ссылке, — надёжно защищён и никогда не попадёт в индекс. Рекомендую представителям поисковых систем больше упоминать на своих профильных конференциях и вебинарах для профессионалов о том, что любая страница, доступная без авторизации, может рано или поздно попасть в индекс.
Ещё есть проблема в том, что разные поисковые системы по-разному используют директивы, их рекомендации по индексации иногда противоречат и взаимоисключаемы. То есть разработчики, сделав всё по инструкции Google, будут удивлены, когда в «Яндексе» директивы, наоборот, перестали работать, из-за чего в индекс попало множество документов, которые не должны были индексироваться.
Последний случай с индексацией персональных данных в «Google Документах»
Пароли и личные данные всегда попадали в индекс, можно было найти эти данные, просто не в таких масштабах. Я связываю последнюю утечку с ростом популярности самих сервисов Google — больше людей пользуется таблицами, теперь это не только айтишники, но и воспитатели детских садов, мамочки, составляющие план покупок. То есть это уже не только продвинутые пользователи.
Мои рекомендации для владельцев и разработчиков сайтов
- Любые чувствительные данные максимально закрывать от посторонних с помощью авторизации.
- Всегда запрещать роботам индексировать любую конфиденциальную информацию. Причём использовать не только один из рекомендуемых поисковой системой способов, а дублировать, используя все методы защиты, такие как robots.txt, clean-param, meta-noindex.
- Проверять, чтобы методы защиты были универсальными и работали во всех поисковых системах.
- Помимо этого, определять роботов по user-agent и блокировать им доступ к любой приватной информации, отдавая ответ сервера 4хх.
- Обращаться к профессионалам SEO для экспертизы поисковой оптимизации сайта.
Рекомендации для поисковых систем и крупных сервисов вроде PowerBi, «Google Документов»
Чаще прислушиваться к мнению и просьбам специалистов по SEO. Например, в «Яндексе» работа некоторых директив индексации отличается от Google — из-за чего приходится делать сложные схемы обхода, например, с междоменными canonical. Из-за этого у мелких сайтов без высококлассных специалистов могут быть проблемы — закрытые страницы массово попадают в индекс, а там могут быть и частные данные.
Google же считает, что она единственная в мире поисковая система и не учитывает при разработке своих сервисов что есть такие системы, как «Яндекс» с их продвинутыми алгоритмами индексации. Из-за этого в индекс попали документы Google, доступные только по ссылке.
Если бы разработчики Google были более компетентны и учитывали работу всех поисковых роботов, они бы добавили в документы доступные по ссылке запрет индексации с помощью метатега robots noindex. А также блокировали бы доступ поисковых роботов к таким документам.
Также нужно выдавать предупреждение при открытии доступа по ссылке — что наличие ссылки только у вас не значит, что о ней никто не узнает — множество программ, браузеров, плагинов, счётчиков, скриптов собирают информацию и только из разработчикам известно, как они её хранят и куда дальше направляют.
Обновлено редакцией 14 июля. Представители «Сбербанка» сообщили vc.ru, что банк разбирается с описанной в статье ситуацией. «Уже сейчас можем сказать, что данных, которые могут нанести ущерб банку или клиентам здесь нет», — сказали они.
Обновлено редакцией 17 июля. «ВТБ провел расследование в связи с возникшей ситуацией. Установлено, что инцидент произошел по вине третьей стороны. При этом информация, относящаяся к банковской тайне, не была передана третьим лицам. Безопасность данных наших клиентов полностью защищена», — сообщили vc.ru в пресс-службе ВТБ.
Автор данного комментария предоставляет информацию лишь в ознакомительных целях и никак иначе.
Так как они находятся в общем доступе и предоставлены на всеобщее обозрение.
Никакой пропаганды хакерства и киберприступлений данный комментарий не несёт.
Спасибо за внимание.
(Пунктуация сохранена)
1.SHELL - самые распространенные шеллы это r57shell, c99shell,remview...
Их можно отыскать запросом:
a)intitle:"phpremoteview" filetype:php
б) inurl:"remview.php"
r57shell и c99shell...
2.СVV2 - кредиты, кредитные карточки.
Их можно отыскать запросом:
а)filetype:txt intext:cvv2
б)filetype:txt intext:american express
3.SQL - ДАМП БАЗЫ.
Их можно отыскать запросом:
а)filetype:sql "IDENTIFIED BY" -cvs
4.VNC доступ.
Их можно отыскать запросом:
а)intitle:"VNC viewer for java"
5.Роутеры.
Их можно отыскать запросом:
а)intitle:"SpeedStream Router Management Interface"
6.Принтер сервер и веб камеры.
Их можно отыскать запросом:
а)inurl:webArch/mainFrame.cgi
7.Чужие IP телефоны.
Их можно отыскать запросом:
а)intitle:"Sipura SPA Configuration" -.pdf
8.Фото ч чужих цифровых аппаратов.
Их можно отыскать запросом:
а)index.of.dcim
9.Халявный нортон антивирус.
Их можно отыскать запросом:
а)inurl:"GRC.DAT" intext:"password"
10.Пассы -
inurl:"password.dat"
filetype:password.dat
filetype:dat passwd
filetype:dat passwd.dat
intext:"password"
11. Поисковые запросы веб камер:
inurl:MultiCameraFrame?Mode=
inurl:"ViewerFrame?Mode="
inurl:netw_tcp.shtml
intitle:"supervisioncam protocol"
inurl:CgiStart?page=Single
inurl:indexFrame.shtml?newstyle=Quad
intitle:liveapplet inurl:LvAppl
inurl:/showcam.php?camid
inurl:video.cgi?resolution=
inurl:image?cachebust=
intitle:"Live View / - AXIS"
inurl:view/view.shtml
intext:"MOBOTIX M1"
intext:"Open Menu"
intitle:snc-rz30
inurl:home/
inurl:"MultiCameraFrame?Mode="
intitle:"EvoCam" inurl:"webcam.html?quot;
intitle:"Live NetSnap Cam-Server feed"
intitle:"Live View / - AXIS 206M"
intitle:"Live View / - AXIS 206W"
intitle:"Live View / - AXIS 210"
inurl:indexFrame.shtml Axis
inurl:"ViewerFrame?Mode="
inurl:"MultiCameraFrame?Mode=Motion"
intitle:start inurl:cgistart
intitle:"WJ-NT104 Main Page"
intext:"MOBOTIX M1" intext:"Open Menu"
intext:"MOBOTIX M10" intext:"Open Menu"
intext:"MOBOTIX D10" intext:"Open Menu"
intitle:snc-z20 inurl:home/
intitle:snc-cs3 inurl:home/
intitle:snc-rz30 inurl:home/
intitle:"sony network camera snc-p1"
intitle:"sony network camera snc-m1"
site:.viewnetcam.com -www.viewnetcam.com
intitle:"Toshiba Network Camera" user login
intitle:"netcam live image"
intitle:"i-Catcher Console - Web Monitor"
inurl:/home/home
intitle:flexwatch intext:"Copyright by Seyeon TECH Co"
intitle:"snc-rz30 home"
intitle: Network camera
Кстати говоря, на западе google hacking давно является серьезной угрозой.
Не совсем понимаю зачем выкладывать практический пример использования... ведь даже барану будет понятно что статья написана для указания на проблемы, которые нужно исправить. Это в интересах всех пользователей рунета, которые пользуются сервисами с некомпетентными сотрудниками.
Предлагаю тебе приложить фото твоей кредитной карты с обеих сторон, ИСКЛЮЧИТЕЛЬНО в ознакомительных целях! Мы всем сообществом обещаем, что эта информация не будет использована в своих меркантильных целях.
Интересно - кто оперативнее отреагирует и отпишется в комментах?
ВТБ, Сбер или МОС
Скорее всего, никто.
ДЦП
ФСБ
Ко мне по крайней мере спустя сутки никто не обратился)
Роскомнадзор
Думаю mos
Нашел билеты в Екатеринбург через эти дыры, завтра лечу бесплатно
Нормальная тема для стартапа. С промо-кодами же есть уже порталы. Тут что-то похожее будет.
Там еще остались уже оплаченные билеты?
Неожиданно, что проблема до сих пор имеет ТАКОЙ масштаб! После инцидента с Мегафоном я был уверен, что такие вещи уже давно включены в чек-лист каждого безопасника. Но вопрос: а есть ли вообще у этих сервисов безопасники? Или на эту должность племянника директора посадили?
Про племянника в точку. Отсутствие компетенции на лицо.
В почте рф точно нет ;)
Вы, видимо, далеки от айти в профессиональном плане. Я вот ничуть ни удивлён. Даже больше огорошу - такой бардак будет еще неопределенное количество лет. И есть очень нехилый шанс, что не разрулится никогда. Просто случится пиздец и всё на этом, айти-инфраструктуру страны выкосят какие-нибудь расторопные ребята.
Привет всем в этом чатике! :D Давайте запилим конкурс мемов про IT безопасность под эти камментом! Если наберется 20 мемасов - выберу лучшего и отправлю бутылку вина (белое/красное на ваш выбор) - для тех кто в МСК. Если выиграет кто-то из региона - кину бутылку на карту ;) Завтра вечером определю главного мемолога). Оставляйте свой фб для связи - напишу туда
1й пошел - все школьники страны сегодня вечером
classic
Или вот прям в тему 😂
😂😂😂😂
И самое интересное это рассказывает SEO специалист, а не специалист по информационной безопасности ))
У них разные чек-листы :D
На е-коммерсе тоже часто встречается.
Я так закрывал неименные сертификаты с деньгами на одном очень известном магазине.
Помню у одного из топовых коммерческих сайтов телефоны клиентов были прямо в URL. Помимо утечки данных - это кладезь для конкурентов - бери и обзванивай всех. Тоесь, пренебрежение безопасностью в данном случае и прямыми коммерческими потерями грозит.
Огонь :)
*Закрывал = закрывал дыры, чтобы сертификаты не попали в Яндекс / Гугл
Да, с ecommerce вообще беда, там бюджеты не такие как у Сбера, ВТБ.
Паша, это огонь!
Привет из ИМЭС ))
Закон Ярвой в ярости 😤
у кого то начинает бомбить )
Потрясающая статья.
Это все происходит в стране, где тратятся миллиарды на проведение конференций про киберугрозы.
Но не хватает денег на книжечку SEO для чайников.
И принимаются решения всякие по блокировке телеграмма, бессмысленные законы Яровой. Это называется - когда люди занимаются не своим делом и решения принимают не эксперты а чиновники.
Мля я уже ничему не удивляюсь в этой стране!
Запилю robots.txt Сберу за 1000$, Греф пиши в лс
SEO рассказывает про секьюрити данных. I have seen it all
Слушайте, SEO уже пишут про защиту серверов сайтов от хакерских атак, уязвимостей, дырявых протоколов, которые можно расшифровать.
Реально такие чеклисты есть.
Даже у Финама - топ1 компании, какой-то из сайтов для трейдинга/инвестиций использует (по крайней мере недавно было, когда обращался к ним) незащищенный протокол HTTP. Мы переводем все сайты по продаже шампуней, детских игрушек на HTTPS а многомиллиардный Финам кидает пользователей сайта на HTTP, который может любой перехватить через wifi ))
Рассказал им об этом - сказали фигня, у нас везде СМС используется, все безопасно. Lol
Ну если на это никто больше не обращает внимания - приходится нам)
Странно что в СБ таких контор работают на столько некомпетентные люди.
Зато откаты компетентные получают :)
Зато их руководители получают зп за один день больше чем средний SEO-шник в Москве за год ;)
Огонь!... Столько раз шум понимался, законы принимаются... А воз и ныне там!..
"Трубу под давлением обматывают который раз изолентой и надеются на то что она выдержит"
Комментарий недоступен
Вот! Я об этом сразу с появления новости что банки будут по биометрии работать насторожился. Пароль в соцсети или доступ к документам в облаке можно поменять. Отпечатки пальцев, сетчатку глаза, лицо и голос - нет!
Если специалист по безопасности в Apple получает 20.000$ в мес, а в каком-нибудь дата-центре биометрических данных Самары будут искать "спецов" за 15.000 рублей - мне страшно за эти данные :)
Чтобы данные не утекали надо нанимать хороших спецов на хорошую з/п
я думаю там сидят люди на больших таких зар платах, а ничего не умеют. в дата-центрах именно так, почти все сотрудники не знают о своих собственных компаниях и дата-центрах и 5%. и какой-ниб человек со стороны знает в 20 раз больше чем они. и денег не получает, как те люди, на которых выкидывают кучу бюджета. так можно говорить и маркетинге который сливает бюджеты в черную дыру, когда можно не рубля не потратить на рекламу и напродавать серверов столько же если не больше. я знаю кучу народу которые бесплатно вообще делают что-то и у них получается лучше, чем у сотрудника который сидит условно в таких вот компаниях и получает за сидение зар плату
Комментарий удален модератором
При чем тут честность? Воспользовавшись личными данными можно:
- взять на частное лицо кредит
- снять деньги со счета
- навести воров на квартиру...
продолжать?
Огласите тогда тут свой номер ИНН, паспорт, пенсионное, ну и можно пароли к соцсетям и почте - чего скрывать то))
Скрывать надо от тех, кому есть что скрывать
Поэтому на честных всегда записывают по сто кредитов. Гг
Тема си не раскрыта.
За пароли спокоен, а вот с транзакциями - это фейл!
А сбербанк, а греф, а большие данные? 🤔
Это немного на других сайтах (форумах) крутится ;)
Большие данные видно еще в зачаточном состоянии. Как сделают - будут и большие утечки.
Сбербанк и Греф скупили все видеокарты и майнят биткоины.
Не мешайте им.
Сбербанк проводит разбирательство по данной ситуации. Однако уже сейчас могу сказать, что данных, которые могут нанести ущерб Банку или клиентам, здесь нет.
Служба заботы о клиентах
ПАО Сбербанк
Мария, данных которые могут нанести ущерб здесь нет потому что вам просто повезло на этот раз. Это как вы забыли закрыть дверь в сейф где деньги лежат, но никто туда просто не заглянул. Но если Сбер будет так же халатно относиться к безопасности данных, рано или поздно произойдет катастрофа. У ваших коллег из топовых уже случалось похожее и они целую неделю не могли даже понять что произошло и что делать - показатель уровня :).
Здесь нет потому, что автор требования закона о защите персональных данных соблюдает. А вы(банк)? И что ещё можно обнаружить в такой выборке, если провести её самостоятельно? Такой же вопрос и к остальным. А "честным гражданам", которым "нечего скрывать", уже советовали, публикуйте номера карт, пин-коды, cvv, сканы паспортов и прочее разное, хоть приватную переписку. Вот только принцип приватности всегда был и есть один: "Мне нечего скрывать, НО ЭТО НЕ ВАШЕ ДЕЛО!"
Комментарий недоступен
Молодец Машенька, разбирательство проходит, а уже сейчас сказать можете)
А как же паспорта???
Мария, Вы хорошо подумали перед тем, как делать такие заявления в кругу людей, прекрасно представляющих, какой ущерб может нанести разглашение персональных данных и данных о транзакциях?
А колыбельную споёте?
Картинки с "котиками" на почту еще никто не отменял, сколько прошло времени, а они еще работают :D
А я размышляю над тем - а вдруг кто-то этими данными пользовался по тихому все это время?
Оно так и было (есть) долгое время.... и извините если можно получить доступ к бухгалтериям предприятий, то что говорить о более публичных данных.
Мне вот на днях один сервис прислал письмом мой логин и пароль не в зашифрованном виде, после чего я ушел от этого сервиса.
Конечно пользуются.
В открытом поисковиках можно было даже доступы в Google.Docs к кошелькам где биткоины лежат.
" - Они и будут продолжаться пока программистам будут мало платить. "
В сети можно найти всё, хоть фотографии с любого мобильника вытащить, хоть музыку.....
Ну, вытащите фотографии и музыку с моего мобильника.
Супер статья!
В ВУЗах сейчас происходит приём абитуриентов на специальность 10.03.01"Информационная безопасность"
Интересно, кто преподаёт там SEO ???
Никто. Нет такой дисциплины там) А нужна)
Комментарий удален модератором
Понятно что это задумывалось для удобной жизни.
Так же как и удобная авторизация везде через FB, например. А потом выяснилось что эти приложения в которых вы авторизовались сливают ваши данные.
Если бы владельцы всех сайтов с личными данными применили хотя бы 3 моих совета из статьи:
-robots.txt
-meta noindex
-блочить доступ основным поисковым индексаторам
99,9% утечек можно было бы избежать.
даже дорвейщики, сателиттчики, школьники-создатели PNB сеток это делают.
Отличная статья! Спасибо!
Где мемасики?)
Хороший пример ньюсджекинга
Вот вам и всемирный доступ к неограниченным данным... А умные и ушлые, этим пользуются...
Павел, спасибо, пошел закрывать дыры на своих сайтах.
Комментарий недоступен
Вы забыли упомянуть, что сейчас почта (e-mail) правомерно сканируется. И все данные попадают в базу анализа. С девизом «мы подберём вам лучшую рекламу» этим вполне себе занимается тот же гугл.
Всегда можете пользоваться другой почтой.
Ах да, она не такая удобная, быстрая и надёжная, как Gmail.
О боже! Неужели нужна авторизация чтобы данные не утекали? Пойду погуглю про одноразовые диплинки...
Статья не про безопасность, а про самопиар :-)
Почему не про безопасность?
Я привел советы реальные, которые, уверен, 99,9% новых утечек помогут предотвратить.
robots.txt, clean-param, meta-noindex + блочить поисковых ботов
Статья отличная и вскрывает мега важные проблемы! Только почему официальные лица никак не реагируют на ТАКУЮ информацию?! И будут ли действительно решать эти проблемы или, как обычно, замнут дело, а обществу устроят очередные зрелищные игры, чтобы развлекались и не задавали ненужных вопросов? А еще лучше не думали вообще?
Успели научиться пользоваться интернетом, успели доверить ему личную информацию. А вот укротить эту стихию пока не получается.
Прямо сериал Black Mirror напоминает
Укротитель SEO трафика . Звучит гордо.
С появлением соцсетей - да... хорошо, что не повёлся на это всё. О себе - только самый минимум или же уже байки тех времён, с которых ничего не прилетит, то есть 10-15-20 летней давности.
Ничему жизнь не учит ребят...
Все из-за телеграма и инстаграма!
Теперь рскмндзр всех заблочит. Так проще уже!)
Не, ну а чего. Нормально всё. Интернет в нашей стране ещё очень молодой. Активно развиваться-то, регулироваться и расти начал лет десять-пятнадцать. А пока нет смысла доверять свои данные сети.
Комментарий удален модератором
Злоумышленник улетает на Бали вместо меня это конечно жестко. До такой степень вряд ли дойдет. Все равно подтверждение данных придут на телефон в смс. Но все равно неприятны такие утечки.
Да. Но сайты с продажей билетов как на грибах растут. И кто знает какого они качества, если уже все кому не лень пилят свои агрегаторы. Пример: они высылают 3-4 значный номер на СМС и не имеют защиты от брута и повторную СМС при ошибке.
Можно тупо перебором эти 1000/10000 комбинаций ввести с помощью простого скрипта.
Комментарий удален модератором
Что на счет СДЭКа?