{"id":13660,"url":"\/distributions\/13660\/click?bit=1&hash=829c3f4bd5611858ea9456b55832e0254413f056f0bd8b6fa3b9fccae541092c","title":"\u041b\u0438\u0434\u0435\u0440\u044b \u0440\u044b\u043d\u043a\u0430 \u0440\u0430\u0441\u0441\u043a\u0430\u0437\u044b\u0432\u0430\u044e\u0442, \u043a\u0430\u043a \u0431\u044b\u0442\u044c \u043b\u0438\u0434\u0435\u0440\u0430\u043c\u0438 \u0432 \u043a\u043e\u043c\u0430\u043d\u0434\u0435","buttonText":"\u0423\u0437\u043d\u0430\u0442\u044c \u0433\u0434\u0435","imageUuid":"b21a2e96-c2cd-51bd-a6d9-39deeed48e3c","isPaidAndBannersEnabled":false}
Офтоп
Andrew Podolsky

Личные данные пользователей сайта московской мэрии попали в поиск «Яндекса»

Поисковик индексировал квитанции по счетам за ЖКХ, и платежи в московские школы и ГИБДД.

Пользователи Facebook нашли в открытом доступе квитанции пользователей, которые «утекли» с сайта московской мэрии. Около 700 документов можно было найти через поисковик «Яндекса», рассказал глава агентства поисковой оптимизации «Артиллерия» Петр Литвин.

Среди них — квитанции за услуги ЖКХ, а также платежи в московские школы и городское управление ГИБДД. Адреса этих документов указывали на сайт мэрии — pay.mos.ru.

Во многих квитанциях по оплате услуг школ были указаны личные данные не только родителей, но и детей, отмечает РБК. Представители мэра Москвы и «Яндекса» не ответили на запросы издания.

На момент написания заметки «Яндекс» не отображал никаких документов по аналогичному запросу.

На утечку также обратил внимание SEO-специалист Rush Agency Павел Медведев: по его словам, «Яндекс» также некоторое время индексировал билеты с паспортными данными пользователей сервиса KupiBilet.

Руководитель агентства поисковой оптимизации «Артиллерия» Петр Литвин объяснил РБК, что, вероятно, у поддомена, на котором расположен платёжный порт pay.mos.ru, нет запрета на размещение в поисковой выдаче.

0
43 комментария
Написать комментарий...
Jana Lavrova

KUPIBILET: Большое спасибо Павлу Медведеву за то, что обратил внимание на проблему. Проведенная проверка показала, что инцидент произошел на третьей стороне и затронул только малую долю наших пассажиров — тех, которые пользовались Яндекс.Браузером. За тот время, что данные можно было найти в поисковике, проблема не успела принять большой масштаб. В четверг наш IT-департамент быстро прореагировал и закрыл из выдачи документы. Сейчас маршрутные квитанции в поиске не доступны.

Ответить
Развернуть ветку
Andrew Podolsky
Автор

молодцы

Ответить
Развернуть ветку
Mark Khil

Спорим, что крайним в итоге сделают Яндекс?)

Ответить
Развернуть ветку
Владислав Егоров

А яндекс не виноват? Почему с гуглом такого не случается? Каким образом эти страницы попали в индекс, уж не через яндекс.браузер ли?

Ответить
Развернуть ветку
Георгий

Сучий яндекс сам базы взламывает!!!!!!1111111

Ответить
Развернуть ветку
Владислав Егоров

Не взламывает, а просто расшаривает личные данные пользователя их браузера на весь интернет. То, что разработчики сайта тоже накосячили, яндекс не оправдывает - проблемы-то огребает именно их пользователь, который не имеет возможности контролировать код всех сайтов, которыми пользуется.

Ответить
Развернуть ветку
Sergei Soloviev

Если данные в открытом доступе — их могли уже месяцами или годами воровать, и то, что это так всплыло — даже хорошо, ибо повлечет исправления и, надеюсь, увольнения некомпетентных сотрудников.

Ответить
Развернуть ветку
Владислав Егоров

Они не были в открытом доступе. Чтобы открыть их, нужно было знать случайный идентификатор, подобрать который было невозможно - который и слил яндекс.

Ответить
Развернуть ветку
Sergei Soloviev

Вы — разработчик сайта мэрии, чтоли? Защищенные данные нельзя слить из Яндекс браузера, хотя бы потому что https, md5, хэши, токены, авторизация и все такое прочее. А вот криворукий код — вполне. Потому что конфиденциальные данные должны хорошо защищаться, а не просто генерацией случайных URL.

Ответить
Развернуть ветку
Владислав Егоров

Перечитайте ветку. Я нигде не утверждал, что это не косяк разработчиков. Но угадать случайный URL ничуть не проще, чем угадать случайный пароль - случайный URL ни разу не является синонимом открытого доступа и куча секретных данных в сети хранится именно таким образом. И если бы не бэкдор в виде яндекс.браузера, который расшарил эти URL-ы для всего интернета, то вытащить их можно было бы разве что из истории браузера.

Ответить
Развернуть ветку
Andrew Podolsky
Автор

ну в любом случае если по урлу хранится информация, которая носит секретный характер при открытии, как минимум должна защищаться паролем нет?

Ответить
Развернуть ветку
Владислав Егоров

Если там HTTPS, то зачем пароль?

Ответить
Развернуть ветку
Sergei Soloviev

Затем, что если Яндекс смог, то и другие смогут. Вот зачем.

Ответить
Развернуть ветку
Владислав Егоров

Смог что? Браузер видит все то же самое, что пользователь. Он может сделать все, что угодно - украсть любые данные, подсмотреть любые пароли и т.д. Поэтому важно использовать надежный браузер, которому можно доверять.

Ответить
Развернуть ветку
Andrew Podolsky
Автор

Ну тут с одной стороны они молодцы, а с другой стороны, ну есть же модерация понимание конфиденциальности данных?

Ответить
Развернуть ветку
Император Всероссийский

Просто Google теперь индексирует рунет со скоростью черепахи.

Ответить
Развернуть ветку
Andrew Podolsky
Автор

ну у него тоже были сюрпризы)

Ответить
Развернуть ветку
Roman Tatarinov

"SEO-специалист Rush Agency Павел Медведев" - они сначала ни хера не следят за доками, в исключения не добавляют. Что там у них `robot.txt` или еще чего. А потом плачутся, что их индексируют. Яндекс будет виноват, слишком хороший год у них, надо испортить.

Ответить
Развернуть ветку
Pavel Medvedev

У мэрии москвы вообще не было файла robots.txt
Отдавалась заглушка.
Вопрос - куда идут бюджетные деньги, сеошники у них есть, насколько мне известно.
https://s.mail.ru/GR2k/HjkDcJRV3

Ответить
Развернуть ветку
Sergei Soloviev

Мне кажется, что это — проблема мэрии, а не Яндекса. Яндекс просто ходит по открытым страницам, и такие "специалисты" работают в мэрии, что не могут хранить данные.
Яндекс тут как индикатор непрофессионализма ИТ подрядчиков мэрии. И хорошо, что это всплыло. Не всплыви — кто-то мог годами тихо воровать данные пользователей.

Ответить
Развернуть ветку
Владислав Егоров

Нет, не мог. Для того, чтобы ходить по этим страницам и тихо воровать данные пользователей, нужно было знать их уникальные идентификаторы - которые и слил яндекс через, например, яндекс.браузер.

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Владислав Егоров

Где ты злобу-то увидал - в констатации объективных фактов? Я это пишу через Яндекс.Браузер, который мне нравится - если исключить подобного рода залеты. Нет, гугл не индексирует ссылки из хрома - поэтому все эти регулярные сливы за последние много лет и идут через яндекс.

Ответить
Развернуть ветку
Andrew Podolsky
Автор

ага просто там в гугле они побырому все скрывают))

Ответить
Развернуть ветку
Айдар Зарипов

Закрывайте этот Яндекс!

Ответить
Развернуть ветку
Andrew Podolsky
Автор

где искать тогда конфиденциальную инфу?

Ответить
Развернуть ветку
Stepan Vakhtin

Это все больше начинает напоминать какой-то пиар поисковика 😆 Мол, у нас тут всякое такое можно найти, что ой-ой-ой

Ответить
Развернуть ветку
Andrew Podolsky
Автор

Кстати тоже подумал, что это вариант черного pr, ибо если сайт защищен то такая штука не индексируется.

Ответить
Развернуть ветку
Mr. Burns

Сказано ж: найдется всё.

Ответить
Развернуть ветку
Roman Tatarinov

как по мне, это больше начинает напоминать раздувательство из мухи слона, чтобы выписать еще парочку законов, чтобы опять что-то контролировать и запрещать. А под это можно и еще 20 миллиардов выписать, как на борьбу с ТГ. Больше лярдов, еще больше)

Ответить
Развернуть ветку
Тогдашний Орзэмэс

Бигдата, блокчейн, машинлеинг

Ответить
Развернуть ветку
Юрий Б.

Хаха, классика

Ответить
Развернуть ветку
Pavel Medvedev

Портал мэра опять скажет - новость не соответствуют дейтствительности. Вам показалось. Никаких платежек не попало в в индекс. Утечки нет.

Ответить
Развернуть ветку
Konstantin Zhivenkoff

На самом деле, все началось очень давно...

Год 2014й: Герман Греф вошел в совет директоров «Яндекса»...

Если, конечно, вы понимаете о чем я...

Ответить
Развернуть ветку
Andrew Podolsky
Автор

ага и слил им платежки))

Ответить
Развернуть ветку
Andrew Podolsky
Автор

Очередной слив...

Ответить
Развернуть ветку
Pavel Medvedev

Тем временем

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Pavel Medvedev

Там есть такая страница.

Ответить
Развернуть ветку
Pavel Medvedev

В ответе РКН же пишут не про политику а про нарушение требований метрики и GA, учитывая что у них нет никаких требований.

Ответить
Развернуть ветку
Pavel Medvedev

А вот разъяснение юриста общественной палаты, по заявлению которого заблокировали. Тоесть, по сути каждый 2й сайт можно заблокировать так, найдя какие-то недочеты в политике конфидициальности.

Ответить
Развернуть ветку
Andrew Podolsky
Автор

Конечно, 90% сайтов можно блокирнуть простой жалобой в ркн.

Ответить
Развернуть ветку
Читать все 43 комментария
null