В открытый доступ попали данные клиентов Сбербанка и ВТБ

Не прошло и двух недель после скандала c Google Docs в поисковой выдаче «Яндекса», как обнаружилась новая утечка. Оказалось, что в выдаче поисковика можно найти и персональные данные некоторых пользователей Сбербанка, ВТБ, единого транспортного портала правительства Москвы и интернет-магазинов.

  • На то, что данные клиентов крупнейших российских интернет-сервисов (вплоть до сканов паспортов в высоком разрешении) можно найти в поисковой выдаче, обратил внимание специалист по поисковой оптимизации Павел Медведев. О том, как это могло произойти, он написал подробную статью.
  • В двух словах: как и в случае с Google Docs, наибольший риск утечки — у тех закрытых страниц, которые сервис показывает пользователю не по паролю, а в виде уникальной секретной ссылки с длинным адресом из случайного набора символов. Подобрать такой адрес невозможно даже с помощью специализированного ПО — но при отсутствии нужных мер предосторожности поисковик может его проиндексировать. Для этого даже не нужно, чтобы пользователь пересылал кому-то ссылку или публиковал ее в открытом доступе — многие плагины для браузеров Google Chrome и «Яндекс.браузер» (на них приходится 70% рынка) вполне легально собирают информацию о посещенных пользователем страницах и могут передавать информацию о них поисковику для индексации. По одной из основных версий, именно так в выдачу «Яндекса» попали закрытые Google Docs.
  • Основная вина в утечке при этом лежит на самих сервисах, справедливо указал в своем комментарии «Яндекс»: он не смог бы проиндексировать страницы с личными данными, если бы на их доменах был файл robots.txt, в котором прописываются ограничения доступа для поисковых роботов. Это «пренебрежение элементарными требованиями защиты данных», констатирует Павел Медведев в своей статье. Сбербанк пообещал провести по факту внутреннее расследование.

Что мне с этого?

К сожалению, от «пренебрежения элементарными требованиями защиты данных» на стороне интернет-сервиса защититься невозможно никак — особенно если учесть, что его допустили крупнейшие компании. Но снизить возможность такой утечки можно — для этого надо проверить все плагины вашего браузера, внимательно прочитать пользовательские соглашения и везде, где это возможно, отключить возможность сбора данных для индексации поисковиками. Кроме того, теперь, когда вы имеете дело с закрытым документом, доступным по секретной ссылке, вы по крайней мере предупреждены.