Офтоп Andrew Podolsky
3 313

Личные данные пользователей сайта московской мэрии попали в поиск «Яндекса»

Поисковик индексировал квитанции по счетам за ЖКХ, и платежи в московские школы и ГИБДД.

В закладки
Аудио

Пользователи Facebook нашли в открытом доступе квитанции пользователей, которые «утекли» с сайта московской мэрии. Около 700 документов можно было найти через поисковик «Яндекса», рассказал глава агентства поисковой оптимизации «Артиллерия» Петр Литвин.

Среди них — квитанции за услуги ЖКХ, а также платежи в московские школы и городское управление ГИБДД. Адреса этих документов указывали на сайт мэрии — pay.mos.ru.

Во многих квитанциях по оплате услуг школ были указаны личные данные не только родителей, но и детей, отмечает РБК. Представители мэра Москвы и «Яндекса» не ответили на запросы издания.

На момент написания заметки «Яндекс» не отображал никаких документов по аналогичному запросу.

На утечку также обратил внимание SEO-специалист Rush Agency Павел Медведев: по его словам, «Яндекс» также некоторое время индексировал билеты с паспортными данными пользователей сервиса KupiBilet.

Руководитель агентства поисковой оптимизации «Артиллерия» Петр Литвин объяснил РБК, что, вероятно, у поддомена, на котором расположен платёжный порт pay.mos.ru, нет запрета на размещение в поисковой выдаче.

#новость #утечка

Материал дополнен редакцией

Материал опубликован пользователем. Нажмите кнопку «Написать», чтобы поделиться мнением или рассказать о своём проекте.

Написать
{ "author_name": "Andrew Podolsky", "author_type": "self", "tags": ["\u0443\u0442\u0435\u0447\u043a\u0430","\u043d\u043e\u0432\u043e\u0441\u0442\u044c","\u043d\u043e\u0432\u043e\u0441\u0442\u0438"], "comments": 43, "likes": 29, "favorites": 5, "is_advertisement": false, "subsite_label": "flood", "id": 53915, "is_wide": false, "is_ugc": true, "date": "Thu, 20 Dec 2018 14:34:55 +0300" }
{ "id": 53915, "author_id": 55894, "diff_limit": 1000, "urls": {"diff":"\/comments\/53915\/get","add":"\/comments\/53915\/add","edit":"\/comments\/edit","remove":"\/admin\/comments\/remove","pin":"\/admin\/comments\/pin","get4edit":"\/comments\/get4edit","complain":"\/comments\/complain","load_more":"\/comments\/loading\/53915"}, "attach_limit": 2, "max_comment_text_length": 5000, "subsite_id": 199791, "possessions": [] }

43 комментария 43 комм.

Популярные

По порядку

Написать комментарий...
0

KUPIBILET: Большое спасибо Павлу Медведеву за то, что обратил внимание на проблему. Проведенная проверка показала, что инцидент произошел на третьей стороне и затронул только малую долю наших пассажиров — тех, которые пользовались Яндекс.Браузером. За тот время, что данные можно было найти в поисковике, проблема не успела принять большой масштаб. В четверг наш IT-департамент быстро прореагировал и закрыл из выдачи документы. Сейчас маршрутные квитанции в поиске не доступны.

Ответить
Перейти к комментарию
15

Спорим, что крайним в итоге сделают Яндекс?)

Ответить
–11

А яндекс не виноват? Почему с гуглом такого не случается? Каким образом эти страницы попали в индекс, уж не через яндекс.браузер ли?

Ответить
12

Сучий яндекс сам базы взламывает!!!!!!1111111

Ответить
–1

Не взламывает, а просто расшаривает личные данные пользователя их браузера на весь интернет. То, что разработчики сайта тоже накосячили, яндекс не оправдывает - проблемы-то огребает именно их пользователь, который не имеет возможности контролировать код всех сайтов, которыми пользуется.

Ответить
3

Если данные в открытом доступе — их могли уже месяцами или годами воровать, и то, что это так всплыло — даже хорошо, ибо повлечет исправления и, надеюсь, увольнения некомпетентных сотрудников.

Ответить
0

Они не были в открытом доступе. Чтобы открыть их, нужно было знать случайный идентификатор, подобрать который было невозможно - который и слил яндекс.

Ответить
1

Вы — разработчик сайта мэрии, чтоли? Защищенные данные нельзя слить из Яндекс браузера, хотя бы потому что https, md5, хэши, токены, авторизация и все такое прочее. А вот криворукий код — вполне. Потому что конфиденциальные данные должны хорошо защищаться, а не просто генерацией случайных URL.

Ответить
0

Перечитайте ветку. Я нигде не утверждал, что это не косяк разработчиков. Но угадать случайный URL ничуть не проще, чем угадать случайный пароль - случайный URL ни разу не является синонимом открытого доступа и куча секретных данных в сети хранится именно таким образом. И если бы не бэкдор в виде яндекс.браузера, который расшарил эти URL-ы для всего интернета, то вытащить их можно было бы разве что из истории браузера.

Ответить
2

ну в любом случае если по урлу хранится информация, которая носит секретный характер при открытии, как минимум должна защищаться паролем нет?

Ответить
0

Если там HTTPS, то зачем пароль?

Ответить
0

Затем, что если Яндекс смог, то и другие смогут. Вот зачем.

Ответить
0

Смог что? Браузер видит все то же самое, что пользователь. Он может сделать все, что угодно - украсть любые данные, подсмотреть любые пароли и т.д. Поэтому важно использовать надежный браузер, которому можно доверять.

Ответить
0

Ну тут с одной стороны они молодцы, а с другой стороны, ну есть же модерация понимание конфиденциальности данных?

Ответить
5

Просто Google теперь индексирует рунет со скоростью черепахи.

Ответить
0

ну у него тоже были сюрпризы)

Ответить
3

"SEO-специалист Rush Agency Павел Медведев" - они сначала ни хера не следят за доками, в исключения не добавляют. Что там у них `robot.txt` или еще чего. А потом плачутся, что их индексируют. Яндекс будет виноват, слишком хороший год у них, надо испортить.

Ответить
1

У мэрии москвы вообще не было файла robots.txt
Отдавалась заглушка.
Вопрос - куда идут бюджетные деньги, сеошники у них есть, насколько мне известно.
https://s.mail.ru/GR2k/HjkDcJRV3

Ответить
2

Мне кажется, что это — проблема мэрии, а не Яндекса. Яндекс просто ходит по открытым страницам, и такие "специалисты" работают в мэрии, что не могут хранить данные.
Яндекс тут как индикатор непрофессионализма ИТ подрядчиков мэрии. И хорошо, что это всплыло. Не всплыви — кто-то мог годами тихо воровать данные пользователей.

Ответить
–1

Нет, не мог. Для того, чтобы ходить по этим страницам и тихо воровать данные пользователей, нужно было знать их уникальные идентификаторы - которые и слил яндекс через, например, яндекс.браузер.

Ответить
3

Капец у тебя на Яндекс злоба. Чем они тебя обидели?
Не переживай, твой любимый Гугл так же собирает все ссылки из браузера и Аналитики.
Надо просто читать соглашения и политики конфиденциальности.

Ответить
0

Где ты злобу-то увидал - в констатации объективных фактов? Я это пишу через Яндекс.Браузер, который мне нравится - если исключить подобного рода залеты. Нет, гугл не индексирует ссылки из хрома - поэтому все эти регулярные сливы за последние много лет и идут через яндекс.

Ответить
0

ага просто там в гугле они побырому все скрывают))

Ответить
1

Закрывайте этот Яндекс!

Ответить
3

где искать тогда конфиденциальную инфу?

Ответить
1

Это все больше начинает напоминать какой-то пиар поисковика 😆 Мол, у нас тут всякое такое можно найти, что ой-ой-ой

Ответить
0

Кстати тоже подумал, что это вариант черного pr, ибо если сайт защищен то такая штука не индексируется.

Ответить
3

Сказано ж: найдется всё.

Ответить
0

как по мне, это больше начинает напоминать раздувательство из мухи слона, чтобы выписать еще парочку законов, чтобы опять что-то контролировать и запрещать. А под это можно и еще 20 миллиардов выписать, как на борьбу с ТГ. Больше лярдов, еще больше)

Ответить
1

Бигдата, блокчейн, машинлеинг

Ответить
1

Хаха, классика

Ответить
1

Портал мэра опять скажет - новость не соответствуют дейтствительности. Вам показалось. Никаких платежек не попало в в индекс. Утечки нет.

Ответить
–2

На самом деле, все началось очень давно...

Год 2014й: Герман Греф вошел в совет директоров «Яндекса»...

Если, конечно, вы понимаете о чем я...

Ответить
1

ага и слил им платежки))

Ответить
0

Очередной слив...

Ответить
0

Тем временем

Ответить
0

Да пусть шагают куда подальше

Ответить
0

А вот кстати. А в чем проблема было добавить страницу с политикой конфиденциальности? Сгенерировал типовой текст за 5 мин.

Ответить
0

Там есть такая страница.

Ответить
0

В ответе РКН же пишут не про политику а про нарушение требований метрики и GA, учитывая что у них нет никаких требований.

Ответить
0

А вот разъяснение юриста общественной палаты, по заявлению которого заблокировали. Тоесть, по сути каждый 2й сайт можно заблокировать так, найдя какие-то недочеты в политике конфидициальности.

Ответить
0

Конечно, 90% сайтов можно блокирнуть простой жалобой в ркн.

Ответить
0

KUPIBILET: Большое спасибо Павлу Медведеву за то, что обратил внимание на проблему. Проведенная проверка показала, что инцидент произошел на третьей стороне и затронул только малую долю наших пассажиров — тех, которые пользовались Яндекс.Браузером. За тот время, что данные можно было найти в поисковике, проблема не успела принять большой масштаб. В четверг наш IT-департамент быстро прореагировал и закрыл из выдачи документы. Сейчас маршрутные квитанции в поиске не доступны.

Ответить
0

молодцы

Ответить
0
{ "page_type": "article" }

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fizc" } } }, { "id": 4, "label": "240х200_mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "flbq" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfk" } } }, { "id": 6, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "bscsh", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223676-0", "render_to": "inpage_VI-223676-0-1104503429", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=bugf&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Плашка на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudx", "p2": "ftjf" } } }, { "id": 16, "label": "Кнопка в шапке мобайл", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byzqf", "p2": "ftwx" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvc" } } }, { "id": 19, "label": "Тизер на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "p1": "cbltd", "p2": "gazs" } } } ]
Хакеры смогли обойти двухфакторную
авторизацию с помощью уговоров
Подписаться на push-уведомления
{ "page_type": "default" }