Офтоп
Andrew Podolsky
3344

Личные данные пользователей сайта московской мэрии попали в поиск «Яндекса»

Поисковик индексировал квитанции по счетам за ЖКХ, и платежи в московские школы и ГИБДД.

В закладки

Пользователи Facebook нашли в открытом доступе квитанции пользователей, которые «утекли» с сайта московской мэрии. Около 700 документов можно было найти через поисковик «Яндекса», рассказал глава агентства поисковой оптимизации «Артиллерия» Петр Литвин.

Среди них — квитанции за услуги ЖКХ, а также платежи в московские школы и городское управление ГИБДД. Адреса этих документов указывали на сайт мэрии — pay.mos.ru.

Во многих квитанциях по оплате услуг школ были указаны личные данные не только родителей, но и детей, отмечает РБК. Представители мэра Москвы и «Яндекса» не ответили на запросы издания.

На момент написания заметки «Яндекс» не отображал никаких документов по аналогичному запросу.

На утечку также обратил внимание SEO-специалист Rush Agency Павел Медведев: по его словам, «Яндекс» также некоторое время индексировал билеты с паспортными данными пользователей сервиса KupiBilet.

Руководитель агентства поисковой оптимизации «Артиллерия» Петр Литвин объяснил РБК, что, вероятно, у поддомена, на котором расположен платёжный порт pay.mos.ru, нет запрета на размещение в поисковой выдаче.

{ "author_name": "Andrew Podolsky", "author_type": "self", "tags": ["\u0443\u0442\u0435\u0447\u043a\u0430","\u043d\u043e\u0432\u043e\u0441\u0442\u044c","\u043d\u043e\u0432\u043e\u0441\u0442\u0438"], "comments": 43, "likes": 29, "favorites": 4, "is_advertisement": false, "subsite_label": "flood", "id": 53915, "is_wide": false, "is_ugc": true, "date": "Thu, 20 Dec 2018 14:34:55 +0300", "is_special": false }
Вебинар «Продвижение бизнеса в Азию: как выбрать подходящий момент и верную стратегию? Тенденции, инсайты, бизнес-кейсы»
2 июля Онлайн Бесплатно
Объявление на vc.ru
(function(d, ver) { var onload = function (container, isProduction = false) { const params = { container: container, location: 'article', }; if (isProduction) { params.css = 'https://specialsf378ef5-a.akamaihd.net/MicrosoftTeams/all.min.css?' + ver; } new Special.Special(params); }; var container = d.getElementById('special-microsoft-teams'); if (container) { if (typeof Special === 'undefined') { var s = d.createElement('script'); s.src = 'https://specialsf378ef5-a.akamaihd.net/MicrosoftTeams/all.min.js?' + ver; s.async = true; s.onload = function () { onload(container, true); }; d.body.appendChild(s); } else { onload(container); } } })(document, '3db22ee6');
0
43 комментария
Популярные
По порядку
Написать комментарий...

KUPIBILET: Большое спасибо Павлу Медведеву за то, что обратил внимание на проблему. Проведенная проверка показала, что инцидент произошел на третьей стороне и затронул только малую долю наших пассажиров — тех, которые пользовались Яндекс.Браузером. За тот время, что данные можно было найти в поисковике, проблема не успела принять большой масштаб. В четверг наш IT-департамент быстро прореагировал и закрыл из выдачи документы. Сейчас маршрутные квитанции в поиске не доступны.

Ответить
Перейти к комментарию
15

Спорим, что крайним в итоге сделают Яндекс?)

Ответить
–11

А яндекс не виноват? Почему с гуглом такого не случается? Каким образом эти страницы попали в индекс, уж не через яндекс.браузер ли?

Ответить
12

Сучий яндекс сам базы взламывает!!!!!!1111111

Ответить
–1

Не взламывает, а просто расшаривает личные данные пользователя их браузера на весь интернет. То, что разработчики сайта тоже накосячили, яндекс не оправдывает - проблемы-то огребает именно их пользователь, который не имеет возможности контролировать код всех сайтов, которыми пользуется.

Ответить
3

Если данные в открытом доступе — их могли уже месяцами или годами воровать, и то, что это так всплыло — даже хорошо, ибо повлечет исправления и, надеюсь, увольнения некомпетентных сотрудников.

Ответить
0

Они не были в открытом доступе. Чтобы открыть их, нужно было знать случайный идентификатор, подобрать который было невозможно - который и слил яндекс.

Ответить
1

Вы — разработчик сайта мэрии, чтоли? Защищенные данные нельзя слить из Яндекс браузера, хотя бы потому что https, md5, хэши, токены, авторизация и все такое прочее. А вот криворукий код — вполне. Потому что конфиденциальные данные должны хорошо защищаться, а не просто генерацией случайных URL.

Ответить
0

Перечитайте ветку. Я нигде не утверждал, что это не косяк разработчиков. Но угадать случайный URL ничуть не проще, чем угадать случайный пароль - случайный URL ни разу не является синонимом открытого доступа и куча секретных данных в сети хранится именно таким образом. И если бы не бэкдор в виде яндекс.браузера, который расшарил эти URL-ы для всего интернета, то вытащить их можно было бы разве что из истории браузера.

Ответить
2

ну в любом случае если по урлу хранится информация, которая носит секретный характер при открытии, как минимум должна защищаться паролем нет?

Ответить
0

Если там HTTPS, то зачем пароль?

Ответить
0

Затем, что если Яндекс смог, то и другие смогут. Вот зачем.

Ответить
0

Смог что? Браузер видит все то же самое, что пользователь. Он может сделать все, что угодно - украсть любые данные, подсмотреть любые пароли и т.д. Поэтому важно использовать надежный браузер, которому можно доверять.

Ответить
0

Ну тут с одной стороны они молодцы, а с другой стороны, ну есть же модерация понимание конфиденциальности данных?

Ответить
5

Просто Google теперь индексирует рунет со скоростью черепахи.

Ответить
0

ну у него тоже были сюрпризы)

Ответить
3

"SEO-специалист Rush Agency Павел Медведев" - они сначала ни хера не следят за доками, в исключения не добавляют. Что там у них `robot.txt` или еще чего. А потом плачутся, что их индексируют. Яндекс будет виноват, слишком хороший год у них, надо испортить.

Ответить
1

У мэрии москвы вообще не было файла robots.txt
Отдавалась заглушка.
Вопрос - куда идут бюджетные деньги, сеошники у них есть, насколько мне известно.
https://s.mail.ru/GR2k/HjkDcJRV3

Ответить
2

Мне кажется, что это — проблема мэрии, а не Яндекса. Яндекс просто ходит по открытым страницам, и такие "специалисты" работают в мэрии, что не могут хранить данные.
Яндекс тут как индикатор непрофессионализма ИТ подрядчиков мэрии. И хорошо, что это всплыло. Не всплыви — кто-то мог годами тихо воровать данные пользователей.

Ответить
–1

Нет, не мог. Для того, чтобы ходить по этим страницам и тихо воровать данные пользователей, нужно было знать их уникальные идентификаторы - которые и слил яндекс через, например, яндекс.браузер.

Ответить
3

Комментарий удален по просьбе пользователя

Ответить
0

Где ты злобу-то увидал - в констатации объективных фактов? Я это пишу через Яндекс.Браузер, который мне нравится - если исключить подобного рода залеты. Нет, гугл не индексирует ссылки из хрома - поэтому все эти регулярные сливы за последние много лет и идут через яндекс.

Ответить
0

ага просто там в гугле они побырому все скрывают))

Ответить
1

Закрывайте этот Яндекс!

Ответить
3

где искать тогда конфиденциальную инфу?

Ответить
1

Это все больше начинает напоминать какой-то пиар поисковика 😆 Мол, у нас тут всякое такое можно найти, что ой-ой-ой

Ответить
0

Кстати тоже подумал, что это вариант черного pr, ибо если сайт защищен то такая штука не индексируется.

Ответить
3

Сказано ж: найдется всё.

Ответить
0

как по мне, это больше начинает напоминать раздувательство из мухи слона, чтобы выписать еще парочку законов, чтобы опять что-то контролировать и запрещать. А под это можно и еще 20 миллиардов выписать, как на борьбу с ТГ. Больше лярдов, еще больше)

Ответить
1

Бигдата, блокчейн, машинлеинг

Ответить
1

Хаха, классика

Ответить
1

Портал мэра опять скажет - новость не соответствуют дейтствительности. Вам показалось. Никаких платежек не попало в в индекс. Утечки нет.

Ответить
–2

На самом деле, все началось очень давно...

Год 2014й: Герман Греф вошел в совет директоров «Яндекса»...

Если, конечно, вы понимаете о чем я...

Ответить
1

ага и слил им платежки))

Ответить
0

Очередной слив...

Ответить
0

Тем временем

Ответить
0

Да пусть шагают куда подальше

Ответить
0

А вот кстати. А в чем проблема было добавить страницу с политикой конфиденциальности? Сгенерировал типовой текст за 5 мин.

Ответить
0

Там есть такая страница.

Ответить
0

В ответе РКН же пишут не про политику а про нарушение требований метрики и GA, учитывая что у них нет никаких требований.

Ответить
0

А вот разъяснение юриста общественной палаты, по заявлению которого заблокировали. Тоесть, по сути каждый 2й сайт можно заблокировать так, найдя какие-то недочеты в политике конфидициальности.

Ответить
0

Конечно, 90% сайтов можно блокирнуть простой жалобой в ркн.

Ответить
0

KUPIBILET: Большое спасибо Павлу Медведеву за то, что обратил внимание на проблему. Проведенная проверка показала, что инцидент произошел на третьей стороне и затронул только малую долю наших пассажиров — тех, которые пользовались Яндекс.Браузером. За тот время, что данные можно было найти в поисковике, проблема не успела принять большой масштаб. В четверг наш IT-департамент быстро прореагировал и закрыл из выдачи документы. Сейчас маршрутные квитанции в поиске не доступны.

Ответить
0

молодцы

Ответить

Комментарии