Rush Agency
Pavel Medvedev

ВТБ, «Сбербанк», официальный сайт мэра Москвы — утечки данных пользователей продолжаются

В связи с последними скандалами по утечке персональных данных решили написать статью, где подробно объясним, почему это происходит и как с этим бороться. Рассказывает SEO-специалист, эксперт по поисковым системам в Rush Agency Павел Медведев.

Павел Медведев

На фоне всеобщей истерии в ленте по поводу «Google Документов» и Power Bi я ввёл старый запрос 2011 года, чтобы посмотреть, изменилась ли ситуация, и ужаснулся.

Раньше проблемы были в основном у мелких интернет-магазинов, сейчас информацию сливают и такие гиганты, как ВТБ, «Сбербанк», департамент транспорта Москвы, агрегаторы авиабилетов и многие другие. Я считаю, это связано с тем, что из-за кризиса многие хорошие специалисты и разработчики переориентировались на Запад, и качество кадров в ИТ снизилось. Примеры данных, которые можно найти в поисковой выдаче:

Распечатки билетов с travel.vtb.ru
Данные транзакций через «Сбербанк»
«Сбербанк»
Пример пользовательских данных из заказа интернет-магазина
«Единый транспортный портал Москвы», dt-window.mos.ru
«Единый транспортный портал Москвы», dt-window.mos.ru
«Единый транспортный портал Москвы». Можно даже скачать сканы документов, паспортов пользователей в высоком разрешении

Вышеописанные три домена ВТБ, «Сбербанка» и «Единого транспортного портала Москвы» пренебрегают элементарными требованиями защиты данных — у них даже отсутствует файл robots.txt.

Как могло произойти так, что персональные данные — «Google Таблицы», отчёты с финансовыми показателями компаний в Power Bi могли попасть в выдачу поисковых систем?

Поисковые системы не могут получать доступ и читать информацию со страниц, которые требуют авторизации.

Современные системы требуют сложные пароли, пользователям не всегда удобно запоминать столько паролей, для их удобства доступа к личным страницам создатели сайтов придумали документы с уникальным длинным адресом из случайного набора символов, который невозможно угадать или получить перебором, пример: сайт.ру/проверить-статус-моего-заказа/orjY4mGPRjk5boDnW0uvlrrd71vZw9kphf8eGbhlTpS4q9cvHzFNngSdNNIG8H5Lt3. Проверяем защиту приведенного выше URL на предмет перебора:

Если быть более точным, то 18 миллиардов триллионов триллионов триллионов триллионов триллионов триллионов триллионов триллионов лет для перебора всех возможных вариантов. Звучит надёжно.

Как это работает: вам на email или в SMS приходит сообщение с такой ссылкой, и вроде бы логично, что только вы можете воспользоваться ей для просмотра, корректировки своих данных.

Но есть много способов, как поисковая система может узнать о ссылке — например, вы на каком-то полуприватном затерянном на окраинах интернета форуме, где сидите только вы, и пять ваших близких знакомых поделились этой ссылкой.

Поисковые системы регулярно переобходят даже самые малопосещаемые и никому неизвестные сайты, если они доступны для индексации роботам. Такая ссылка рано или поздно проиндексируется, и страница с личной информацией попадёт в индекс. В 2011 году был скандал с попавшими в выдачу SMS «Мегафона». Тогда я даже провёл семантический анализ текстов этих SMS.

Мало кто хотел бы, чтобы эта информация попадала в общий доступ, то есть ссылки точно на них не расставляли. Много измен, думаю, тогда было раскрыто. Дальше я в том же 2011 году решил проверить, как хранят персональные данные другие сайты, и сразу же обнаружил множество открытых данных с заказами в интернет-магазинах. Новость тогда прогремела, и запрос для поиска попал в топ-20 самых популярных запросов дня по Liveinternet. Пользователей почему-то больше всего заинтересовали данные покупателей секс-шопов. Хотя если человек покупал в магазине лопату и из-за этого утекли его ФИО, адрес, телефон и иногда паспорта — по-моему, такой же вопиющий провал.

Системы аналитики (счётчики, которые устанавливают на каждой странице сайта для исследования поведения посетителей на нём). Самые популярные в России — «Яндекс.Метрика» и Google Analytics.

Заходим в настройки любого счётчика «Метрики» и видим по умолчанию такие опции:

То есть все просмотренные пользователями страницы по умолчанию отправляются на индексацию, если не указать запрет

Но даже если установить запрет, приватные страницы всё равно попадают в индекс. Потому что это один из множества источников данных поисковых систем.

У Google есть браузер Chrome, у «Яндекса» — «Яндекс.Браузер». На них приходится более 70% всех посетителей.

Устанавливая браузеры, вы соглашаетесь с возможной обработкой, отправкой браузером анонимных данных о просмотрах и так далее. То есть это вполне легальный способ собрать большую часть когда-либо просмотренных пользователями страниц.

Когда вы скачиваете какую-нибудь бесплатную программу, часто с ней агрессивно навязываются программы и плагины для браузера от поисковых систем, которые многие специалисты расценивают как дополнительный канал для анализа трафика и поведения пользователей.

Помимо этого, поисковые системы могут покупать анонимизированные данные о трафике, просмотренных сайтах или страницах, как это делает известный сервис SimilarWeb.

Ваша секретная ссылка уже не выглядит такой защищённой?
Представьте ситуацию: вы купили авиабилет с вылетом через полгода, вам пришла SMS с ссылкой для просмотра и редактирования информации в личном кабинете. Вы перешли на неё в телефоне, проверили и забыли.

Тем временем ваш мобильный «Яндекс.Браузер», Android или счётчик метрики сообщил поисковику, что появилась неизвестная ранее страница, робот проверил — страница работает, проиндексировал её через какое-то время.

Потом злоумышленник вбивает в поиск запрос вроде «билет на Бали октябрь изменить бронирование» — попадает в ваш личный кабинет, переписывает фамилию на свою и через полгода улетает вместо вас. (Можно представить, что и такие сайты существуют, которые даже не предупредят об изменении и не запросят дополнительное подтверждение или авторизацию.)

Легально ли, что поисковики собирают такую информацию

Поисковый робот не знает — персональные ли данные в файле. Коммерческая ли тайна в таблицах с финансовыми показателями или, наоборот, вы хотели бы делиться этой информацией со всеми. Он переходит по страницам, доступ к которым не закрыт владельцами сайта.

Часто структура и навигация сайтов очень запутанные, используются различные хитрые JavaScript, так что попасть на полезные страницы по ссылкам с главной страницы поисковикам бывает просто невозможно. В этом случае выглядит логичным получать адреса страниц для индексации из максимального числа источников.

Кто виноват в сложившейся ситуации

Я считаю, что 80% вины лежит на владельцах сайтов, которые не обеспечивают должного качества разработки и оптимизации. Как специалист по поисковой оптимизации сайтов с 12-летним опытом могу сказать, что большинство сайтов до доработки SEO-специалистами выглядят плачевно, владельцы словно живут в параллельном мире без киберугроз, без поисковых систем, ботов, которые могут проиндексировать личные данные пользователей.

20% отдал бы поисковикам за то, что они недостаточно освещают свои механизмы ранжирования и индексации. Часто сталкиваешься с непониманием от разработчиков сайтов: «Как же поисковые системы проиндексируют страницу, ведь у них нет ссылки этой страницы?». Такие же вопросы часто слышу даже от специалистов по SEO.

Большинство современных разработчиков считает, что документ, доступный по длинной уникальной ссылке, — надёжно защищён и никогда не попадёт в индекс. Рекомендую представителям поисковых систем больше упоминать на своих профильных конференциях и вебинарах для профессионалов о том, что любая страница, доступная без авторизации, может рано или поздно попасть в индекс.

Ещё есть проблема в том, что разные поисковые системы по-разному используют директивы, их рекомендации по индексации иногда противоречат и взаимоисключаемы. То есть разработчики, сделав всё по инструкции Google, будут удивлены, когда в «Яндексе» директивы, наоборот, перестали работать, из-за чего в индекс попало множество документов, которые не должны были индексироваться.

Последний случай с индексацией персональных данных в «Google Документах»

Пароли и личные данные всегда попадали в индекс, можно было найти эти данные, просто не в таких масштабах. Я связываю последнюю утечку с ростом популярности самих сервисов Google — больше людей пользуется таблицами, теперь это не только айтишники, но и воспитатели детских садов, мамочки, составляющие план покупок. То есть это уже не только продвинутые пользователи.

Мои рекомендации для владельцев и разработчиков сайтов

  • Любые чувствительные данные максимально закрывать от посторонних с помощью авторизации.
  • Всегда запрещать роботам индексировать любую конфиденциальную информацию. Причём использовать не только один из рекомендуемых поисковой системой способов, а дублировать, используя все методы защиты, такие как robots.txt, clean-param, meta-noindex.
  • Проверять, чтобы методы защиты были универсальными и работали во всех поисковых системах.
  • Помимо этого, определять роботов по user-agent и блокировать им доступ к любой приватной информации, отдавая ответ сервера 4хх.
  • Обращаться к профессионалам SEO для экспертизы поисковой оптимизации сайта.

Рекомендации для поисковых систем и крупных сервисов вроде PowerBi, «Google Документов»

Чаще прислушиваться к мнению и просьбам специалистов по SEO. Например, в «Яндексе» работа некоторых директив индексации отличается от Google — из-за чего приходится делать сложные схемы обхода, например, с междоменными canonical. Из-за этого у мелких сайтов без высококлассных специалистов могут быть проблемы — закрытые страницы массово попадают в индекс, а там могут быть и частные данные.

Google же считает, что она единственная в мире поисковая система и не учитывает при разработке своих сервисов что есть такие системы, как «Яндекс» с их продвинутыми алгоритмами индексации. Из-за этого в индекс попали документы Google, доступные только по ссылке.

Если бы разработчики Google были более компетентны и учитывали работу всех поисковых роботов, они бы добавили в документы доступные по ссылке запрет индексации с помощью метатега robots noindex. А также блокировали бы доступ поисковых роботов к таким документам.

Также нужно выдавать предупреждение при открытии доступа по ссылке — что наличие ссылки только у вас не значит, что о ней никто не узнает — множество программ, браузеров, плагинов, счётчиков, скриптов собирают информацию и только из разработчикам известно, как они её хранят и куда дальше направляют.

Обновлено редакцией 14 июля. Представители «Сбербанка» сообщили vc.ru, что банк разбирается с описанной в статье ситуацией. «Уже сейчас можем сказать, что данных, которые могут нанести ущерб банку или клиентам здесь нет», — сказали они.

Обновлено редакцией 17 июля. «ВТБ провел расследование в связи с возникшей ситуацией. Установлено, что инцидент произошел по вине третьей стороны. При этом информация, относящаяся к банковской тайне, не была передана третьим лицам. Безопасность данных наших клиентов полностью защищена», — сообщили vc.ru в пресс-службе ВТБ.

0
148 комментариев
Написать комментарий...
Виталий Морозов

Автор данного комментария предоставляет информацию лишь в ознакомительных целях и никак иначе.
Так как они находятся в общем доступе и предоставлены на всеобщее обозрение.
Никакой пропаганды хакерства и киберприступлений данный комментарий не несёт.
Спасибо за внимание.
(Пунктуация сохранена)
1.SHELL - самые распространенные шеллы это r57shell, c99shell,remview...
Их можно отыскать запросом:
a)intitle:"phpremoteview" filetype:php
б) inurl:"remview.php"
r57shell и c99shell...
2.СVV2 - кредиты, кредитные карточки.
Их можно отыскать запросом:
а)filetype:txt intext:cvv2
б)filetype:txt intext:american express
3.SQL - ДАМП БАЗЫ.
Их можно отыскать запросом:
а)filetype:sql "IDENTIFIED BY" -cvs
4.VNC доступ.
Их можно отыскать запросом:
а)intitle:"VNC viewer for java"
5.Роутеры.
Их можно отыскать запросом:
а)intitle:"SpeedStream Router Management Interface"
6.Принтер сервер и веб камеры.
Их можно отыскать запросом:
а)inurl:webArch/mainFrame.cgi
7.Чужие IP телефоны.
Их можно отыскать запросом:
а)intitle:"Sipura SPA Configuration" -.pdf
8.Фото ч чужих цифровых аппаратов.
Их можно отыскать запросом:
а)index.of.dcim
9.Халявный нортон антивирус.
Их можно отыскать запросом:
а)inurl:"GRC.DAT" intext:"password"
10.Пассы -
inurl:"password.dat"
filetype:password.dat
filetype:dat passwd
filetype:dat passwd.dat
intext:"password"
11. Поисковые запросы веб камер:
inurl:MultiCameraFrame?Mode=
inurl:"ViewerFrame?Mode="
inurl:netw_tcp.shtml
intitle:"supervisioncam protocol"
inurl:CgiStart?page=Single
inurl:indexFrame.shtml?newstyle=Quad
intitle:liveapplet inurl:LvAppl
inurl:/showcam.php?camid
inurl:video.cgi?resolution=
inurl:image?cachebust=
intitle:"Live View / - AXIS"
inurl:view/view.shtml
intext:"MOBOTIX M1"
intext:"Open Menu"
intitle:snc-rz30
inurl:home/
inurl:"MultiCameraFrame?Mode="
intitle:"EvoCam" inurl:"webcam.html?quot;
intitle:"Live NetSnap Cam-Server feed"
intitle:"Live View / - AXIS 206M"
intitle:"Live View / - AXIS 206W"
intitle:"Live View / - AXIS 210"
inurl:indexFrame.shtml Axis
inurl:"ViewerFrame?Mode="
inurl:"MultiCameraFrame?Mode=Motion"
intitle:start inurl:cgistart
intitle:"WJ-NT104 Main Page"
intext:"MOBOTIX M1" intext:"Open Menu"
intext:"MOBOTIX M10" intext:"Open Menu"
intext:"MOBOTIX D10" intext:"Open Menu"
intitle:snc-z20 inurl:home/
intitle:snc-cs3 inurl:home/
intitle:snc-rz30 inurl:home/
intitle:"sony network camera snc-p1"
intitle:"sony network camera snc-m1"
site:.viewnetcam.com -www.viewnetcam.com
intitle:"Toshiba Network Camera" user login
intitle:"netcam live image"
intitle:"i-Catcher Console - Web Monitor"
inurl:/home/home
intitle:flexwatch intext:"Copyright by Seyeon TECH Co"
intitle:"snc-rz30 home"
intitle: Network camera

Ответить
Развернуть ветку
Igor Erokhin
Ответить
Развернуть ветку
6 комментариев
Valentin Batrak

Кстати говоря, на западе google hacking давно является серьезной угрозой.

Ответить
Развернуть ветку
4 комментария
Pavel Nagovitsin

Не совсем понимаю зачем выкладывать практический пример использования... ведь даже барану будет понятно что статья написана для указания на проблемы, которые нужно исправить. Это в интересах всех пользователей рунета, которые пользуются сервисами с некомпетентными сотрудниками.

Предлагаю тебе приложить фото твоей кредитной карты с обеих сторон, ИСКЛЮЧИТЕЛЬНО в ознакомительных целях! Мы всем сообществом обещаем, что эта информация не будет использована в своих меркантильных целях.

Ответить
Развернуть ветку
2 комментария
Anton Jironkin

Интересно - кто оперативнее отреагирует и отпишется в комментах?
ВТБ, Сбер или МОС

Ответить
Развернуть ветку
Виталий Морозов

Скорее всего, никто.

Ответить
Развернуть ветку
9 комментариев
Евгений Милованцев

ДЦП

Ответить
Развернуть ветку
1 комментарий
Vladimir Butov

ФСБ

Ответить
Развернуть ветку
Pavel Medvedev
Автор

Ко мне по крайней мере спустя сутки никто не обратился)

Ответить
Развернуть ветку
Vanya Indigo

Роскомнадзор

Ответить
Развернуть ветку
2 комментария
Andrey Baranov

Думаю mos

Ответить
Развернуть ветку
Евгений Милованцев

Нашел билеты в Екатеринбург через эти дыры, завтра лечу бесплатно

Ответить
Развернуть ветку
Pavel Ivanov

Нормальная тема для стартапа. С промо-кодами же есть уже порталы. Тут что-то похожее будет.

Ответить
Развернуть ветку
Dima Tsitrosh

Там еще остались уже оплаченные билеты?

Ответить
Развернуть ветку
5 комментариев
Valentin Batrak

Неожиданно, что проблема до сих пор имеет ТАКОЙ масштаб! После инцидента с Мегафоном я был уверен, что такие вещи уже давно включены в чек-лист каждого безопасника. Но вопрос: а есть ли вообще у этих сервисов безопасники? Или на эту должность племянника директора посадили?

Ответить
Развернуть ветку
Pavel Myshkovski

Про племянника в точку. Отсутствие компетенции на лицо.

Ответить
Развернуть ветку
Виталий Морозов

В почте рф точно нет ;)

Ответить
Развернуть ветку
Pixel Lens
Неожиданно

Вы, видимо, далеки от айти в профессиональном плане. Я вот ничуть ни удивлён. Даже больше огорошу - такой бардак будет еще неопределенное количество лет. И есть очень нехилый шанс, что не разрулится никогда. Просто случится пиздец и всё на этом, айти-инфраструктуру страны выкосят какие-нибудь расторопные ребята.

Ответить
Развернуть ветку
Oleg Shestakov

Привет всем в этом чатике! :D Давайте запилим конкурс мемов про IT безопасность под эти камментом! Если наберется 20 мемасов - выберу лучшего и отправлю бутылку вина (белое/красное на ваш выбор) - для тех кто в МСК. Если выиграет кто-то из региона - кину бутылку на карту ;) Завтра вечером определю главного мемолога). Оставляйте свой фб для связи - напишу туда
1й пошел - все школьники страны сегодня вечером

Ответить
Развернуть ветку
Антон Рафаловский
Ответить
Развернуть ветку
Dmitry Versus

classic

Ответить
Развернуть ветку
1 комментарий
Andrey Baranov
Ответить
Развернуть ветку
Pavko
Ответить
Развернуть ветку
Andrey Baranov

Или вот прям в тему 😂

Ответить
Развернуть ветку
1 комментарий
Dima Tsitrosh
Ответить
Развернуть ветку
Антон Рафаловский
Ответить
Развернуть ветку
Andrey Baranov

😂😂😂😂

Ответить
Развернуть ветку
Виталий Морозов

И самое интересное это рассказывает SEO специалист, а не специалист по информационной безопасности ))

Ответить
Развернуть ветку
Andrey Strelnikov

У них разные чек-листы :D

Ответить
Развернуть ветку
1 комментарий
Andrey Strelnikov

На е-коммерсе тоже часто встречается.
Я так закрывал неименные сертификаты с деньгами на одном очень известном магазине.

Ответить
Развернуть ветку
Pavel Medvedev
Автор

Помню у одного из топовых коммерческих сайтов телефоны клиентов были прямо в URL. Помимо утечки данных - это кладезь для конкурентов - бери и обзванивай всех. Тоесь, пренебрежение безопасностью в данном случае и прямыми коммерческими потерями грозит.

Ответить
Развернуть ветку
Andrey Baranov

Огонь :)

Ответить
Развернуть ветку
Andrey Strelnikov

*Закрывал = закрывал дыры, чтобы сертификаты не попали в Яндекс / Гугл

Ответить
Развернуть ветку
Pavel Medvedev
Автор

Да, с ecommerce вообще беда, там бюджеты не такие как у Сбера, ВТБ.

Ответить
Развернуть ветку
Артём Кантемиров

Паша, это огонь!

Ответить
Развернуть ветку
Johnny Vorony

Привет из ИМЭС ))

Ответить
Развернуть ветку
Vladimir Butov

Закон Ярвой в ярости 😤

Ответить
Развернуть ветку
Виталий Морозов

у кого то начинает бомбить )

Ответить
Развернуть ветку
Anton Smets

Потрясающая статья.
Это все происходит в стране, где тратятся миллиарды на проведение конференций про киберугрозы.
Но не хватает денег на книжечку SEO для чайников.

Ответить
Развернуть ветку
Pavel Medvedev
Автор

И принимаются решения всякие по блокировке телеграмма, бессмысленные законы Яровой. Это называется - когда люди занимаются не своим делом и решения принимают не эксперты а чиновники.

Ответить
Развернуть ветку
Витя ч

Мля я уже ничему не удивляюсь в этой стране!

Ответить
Развернуть ветку
mSechkin

Запилю robots.txt Сберу за 1000$, Греф пиши в лс

Ответить
Развернуть ветку
Stan Podolski

SEO рассказывает про секьюрити данных. I have seen it all

Ответить
Развернуть ветку
Pavel Medvedev
Автор

Слушайте, SEO уже пишут про защиту серверов сайтов от хакерских атак, уязвимостей, дырявых протоколов, которые можно расшифровать.
Реально такие чеклисты есть.

Даже у Финама - топ1 компании, какой-то из сайтов для трейдинга/инвестиций использует (по крайней мере недавно было, когда обращался к ним) незащищенный протокол HTTP. Мы переводем все сайты по продаже шампуней, детских игрушек на HTTPS а многомиллиардный Финам кидает пользователей сайта на HTTP, который может любой перехватить через wifi ))
Рассказал им об этом - сказали фигня, у нас везде СМС используется, все безопасно. Lol

Ответить
Развернуть ветку
2 комментария
Anton Jironkin

Ну если на это никто больше не обращает внимания - приходится нам)

Ответить
Развернуть ветку
Pavel Myshkovski

Странно что в СБ таких контор работают на столько некомпетентные люди.

Ответить
Развернуть ветку
Valentin Batrak

Зато откаты компетентные получают :)

Ответить
Развернуть ветку
Pavel Medvedev
Автор

Зато их руководители получают зп за один день больше чем средний SEO-шник в Москве за год ;)

Ответить
Развернуть ветку
Владимир Сюткин

Огонь!... Столько раз шум понимался, законы принимаются... А воз и ныне там!..

Ответить
Развернуть ветку
Виталий Морозов

"Трубу под давлением обматывают который раз изолентой и надеются на то что она выдержит"

Ответить
Развернуть ветку
1 комментарий
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Pavel Medvedev
Автор

Вот! Я об этом сразу с появления новости что банки будут по биометрии работать насторожился. Пароль в соцсети или доступ к документам в облаке можно поменять. Отпечатки пальцев, сетчатку глаза, лицо и голос - нет!

Если специалист по безопасности в Apple получает 20.000$ в мес, а в каком-нибудь дата-центре биометрических данных Самары будут искать "спецов" за 15.000 рублей - мне страшно за эти данные :)

Ответить
Развернуть ветку
Аполлинария Климова

Чтобы данные не утекали надо нанимать хороших спецов на хорошую з/п

Ответить
Развернуть ветку
Re-l Mayer

я думаю там сидят люди на больших таких зар платах, а ничего не умеют. в дата-центрах именно так, почти все сотрудники не знают о своих собственных компаниях и дата-центрах и 5%. и какой-ниб человек со стороны знает в 20 раз больше чем они. и денег не получает, как те люди, на которых выкидывают кучу бюджета. так можно говорить и маркетинге который сливает бюджеты в черную дыру, когда можно не рубля не потратить на рекламу и напродавать серверов столько же если не больше. я знаю кучу народу которые бесплатно вообще делают что-то и у них получается лучше, чем у сотрудника который сидит условно в таких вот компаниях и получает за сидение зар плату

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Pavel Myshkovski

При чем тут честность? Воспользовавшись личными данными можно:
- взять на частное лицо кредит
- снять деньги со счета
- навести воров на квартиру...
продолжать?

Ответить
Развернуть ветку
5 комментариев
Pavel Medvedev
Автор

Огласите тогда тут свой номер ИНН, паспорт, пенсионное, ну и можно пароли к соцсетям и почте - чего скрывать то))

Ответить
Развернуть ветку
Алексей Кириков

Скрывать надо от тех, кому есть что скрывать

Ответить
Развернуть ветку
Anton Smets

Поэтому на честных всегда записывают по сто кредитов. Гг

Ответить
Развернуть ветку
Mike Tikhonov

Тема си не раскрыта.
За пароли спокоен, а вот с транзакциями - это фейл!
А сбербанк, а греф, а большие данные? 🤔

Ответить
Развернуть ветку
Виталий Морозов

Это немного на других сайтах (форумах) крутится ;)

Ответить
Развернуть ветку
Pavel Medvedev
Автор

Большие данные видно еще в зачаточном состоянии. Как сделают - будут и большие утечки.

Ответить
Развернуть ветку
Юрий Лукин

Сбербанк и Греф скупили все видеокарты и майнят биткоины.
Не мешайте им.

Ответить
Развернуть ветку
Maria Alexandrova

Сбербанк проводит разбирательство по данной ситуации. Однако уже сейчас могу сказать, что данных, которые могут нанести ущерб Банку или клиентам, здесь нет.

Служба заботы о клиентах
ПАО Сбербанк

Ответить
Развернуть ветку
Pavel Medvedev
Автор

Мария, данных которые могут нанести ущерб здесь нет потому что вам просто повезло на этот раз. Это как вы забыли закрыть дверь в сейф где деньги лежат, но никто туда просто не заглянул. Но если Сбер будет так же халатно относиться к безопасности данных, рано или поздно произойдет катастрофа. У ваших коллег из топовых уже случалось похожее и они целую неделю не могли даже понять что произошло и что делать - показатель уровня :).

Ответить
Развернуть ветку
Андрей Даскалов

Здесь нет потому, что автор требования закона о защите персональных данных соблюдает. А вы(банк)? И что ещё можно обнаружить в такой выборке, если провести её самостоятельно? Такой же вопрос и к остальным. А "честным гражданам", которым "нечего скрывать", уже советовали, публикуйте номера карт, пин-коды, cvv, сканы паспортов и прочее разное, хоть приватную переписку. Вот только принцип приватности всегда был и есть один: "Мне нечего скрывать, НО ЭТО НЕ ВАШЕ ДЕЛО!"

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Алексей Кириков

Молодец Машенька, разбирательство проходит, а уже сейчас сказать можете)

Ответить
Развернуть ветку
Алексей Кириков

А как же паспорта???

Ответить
Развернуть ветку
Aleksei Novikov

Мария, Вы хорошо подумали перед тем, как делать такие заявления в кругу людей, прекрасно представляющих, какой ущерб может нанести разглашение персональных данных и данных о транзакциях?

Ответить
Развернуть ветку
Johnny Vorony

А колыбельную споёте?

Ответить
Развернуть ветку
Виталий Морозов

Картинки с "котиками" на почту еще никто не отменял, сколько прошло времени, а они еще работают :D

Ответить
Развернуть ветку
Andrey Stavsky

А я размышляю над тем - а вдруг кто-то этими данными пользовался по тихому все это время?

Ответить
Развернуть ветку
Виталий Морозов

Оно так и было (есть) долгое время.... и извините если можно получить доступ к бухгалтериям предприятий, то что говорить о более публичных данных.
Мне вот на днях один сервис прислал письмом мой логин и пароль не в зашифрованном виде, после чего я ушел от этого сервиса.

Ответить
Развернуть ветку
3 комментария
Pavel Medvedev
Автор

Конечно пользуются.
В открытом поисковиках можно было даже доступы в Google.Docs к кошелькам где биткоины лежат.

Ответить
Развернуть ветку
Виталий Морозов

" - Они и будут продолжаться пока программистам будут мало платить. "
В сети можно найти всё, хоть фотографии с любого мобильника вытащить, хоть музыку.....

Ответить
Развернуть ветку
Юрий Лукин

Ну, вытащите фотографии и музыку с моего мобильника.

Ответить
Развернуть ветку
1 комментарий
Ant Kl

Супер статья!
В ВУЗах сейчас происходит приём абитуриентов на специальность 10.03.01"Информационная безопасность"
Интересно, кто преподаёт там SEO ???

Ответить
Развернуть ветку
Oleg Shestakov

Никто. Нет такой дисциплины там) А нужна)

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Pavel Medvedev
Автор

Понятно что это задумывалось для удобной жизни.
Так же как и удобная авторизация везде через FB, например. А потом выяснилось что эти приложения в которых вы авторизовались сливают ваши данные.

Если бы владельцы всех сайтов с личными данными применили хотя бы 3 моих совета из статьи:
-robots.txt
-meta noindex
-блочить доступ основным поисковым индексаторам
99,9% утечек можно было бы избежать.

даже дорвейщики, сателиттчики, школьники-создатели PNB сеток это делают.

Ответить
Развернуть ветку
Oleg Dergilev

Отличная статья! Спасибо!

Ответить
Развернуть ветку
Oleg Shestakov

Где мемасики?)

Ответить
Развернуть ветку
Топал Богдан

Хороший пример ньюсджекинга

Ответить
Развернуть ветку
Елена Троянская

Вот вам и всемирный доступ к неограниченным данным... А умные и ушлые, этим пользуются...

Ответить
Развернуть ветку
Андрей Владимиров

Павел, спасибо, пошел закрывать дыры на своих сайтах.

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Э

Вы забыли упомянуть, что сейчас почта (e-mail) правомерно сканируется. И все данные попадают в базу анализа. С девизом «мы подберём вам лучшую рекламу» этим вполне себе занимается тот же гугл.

Ответить
Развернуть ветку
Юрий Лукин

Всегда можете пользоваться другой почтой.
Ах да, она не такая удобная, быстрая и надёжная, как Gmail.

Ответить
Развернуть ветку
1 комментарий
Sergey Puzin

О боже! Неужели нужна авторизация чтобы данные не утекали? Пойду погуглю про одноразовые диплинки...

Статья не про безопасность, а про самопиар :-)

Ответить
Развернуть ветку
Pavel Medvedev
Автор

Почему не про безопасность?
Я привел советы реальные, которые, уверен, 99,9% новых утечек помогут предотвратить.
robots.txt, clean-param, meta-noindex + блочить поисковых ботов

Ответить
Развернуть ветку
1 комментарий
Евгения Сумарокова

Статья отличная и вскрывает мега важные проблемы! Только почему официальные лица никак не реагируют на ТАКУЮ информацию?! И будут ли действительно решать эти проблемы или, как обычно, замнут дело, а обществу устроят очередные зрелищные игры, чтобы развлекались и не задавали ненужных вопросов? А еще лучше не думали вообще?

Ответить
Развернуть ветку
Mikhail Shkodin

Успели научиться пользоваться интернетом, успели доверить ему личную информацию. А вот укротить эту стихию пока не получается.

Ответить
Развернуть ветку
Andrey Strelnikov

Прямо сериал Black Mirror напоминает

Ответить
Развернуть ветку
Andrey Stavsky

Укротитель SEO трафика . Звучит гордо.

Ответить
Развернуть ветку
1 комментарий
Sergei Timofeyev
успели доверить ему личную информацию.

С появлением соцсетей - да... хорошо, что не повёлся на это всё. О себе - только самый минимум или же уже байки тех времён, с которых ничего не прилетит, то есть 10-15-20 летней давности.

Ответить
Развернуть ветку
Pavel Nagovitsin

Ничему жизнь не учит ребят...

Ответить
Развернуть ветку
Aleksei Novikov

Все из-за телеграма и инстаграма!

Ответить
Развернуть ветку
Vladimir Butov

Теперь рскмндзр всех заблочит. Так проще уже!)

Ответить
Развернуть ветку
1 комментарий
Sergei Timofeyev

Не, ну а чего. Нормально всё. Интернет в нашей стране ещё очень молодой. Активно развиваться-то, регулироваться и расти начал лет десять-пятнадцать. А пока нет смысла доверять свои данные сети.

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Андрей Миронов

Злоумышленник улетает на Бали вместо меня это конечно жестко. До такой степень вряд ли дойдет. Все равно подтверждение данных придут на телефон в смс. Но все равно неприятны такие утечки.

Ответить
Развернуть ветку
Pavel Medvedev
Автор

Да. Но сайты с продажей билетов как на грибах растут. И кто знает какого они качества, если уже все кому не лень пилят свои агрегаторы. Пример: они высылают 3-4 значный номер на СМС и не имеют защиты от брута и повторную СМС при ошибке.
Можно тупо перебором эти 1000/10000 комбинаций ввести с помощью простого скрипта.

Ответить
Развернуть ветку
1 комментарий

Комментарий удален модератором

Развернуть ветку
Павел Бурэ

Что на счет СДЭКа?

Ответить
Развернуть ветку
Читать все 148 комментариев
null