Интернет-покупки россиян рассекречены

Москва. 26 июля. FINMARKET.RU - В Рунете обнаружилась новая утечка персональных данных - с помощью ряда отечественных поисковиков можно просмотреть данные о сотнях покупок, сделанных гражданами через интернет-магазины. В свободном доступе оказались фамилии покупателей, их контактные данные, IP-адреса и списки покупок: от автозапчастей, бытовой техники и книг до цветов и сексуального белья.

Первым в индексации таких данных был замечен поисковик "Яндекс", вокруг которого несколько дней назад уже разгорелся скандал по поводу индексации SMS-сообщений, отправляемых с сайта "МегаФона". Затем выяснилось, что данные выдаются и в других крупнейших поисковиках - Google.ru, Mail.ru, Bing.com.

Как пишет газета "Ведомости", о том, что "Яндекс" индексирует содержание заказов покупателей некоторых российских интернет-магазинов, вчера сообщила компания "Информзащита".

Обычный пользователь едва ли способен найти эту информацию без сторонней подсказки, отмечает газета - для этого нужно освоить специальный язык запросов. Но "Информзащита" подсказку дала: надо ввести в поисковую строку "Яндекса" запросы "inurl:0 inurl:b inurl:1 inurl:c статус заказа" либо "inurl:ukey=order_status IP покупателя" или указать адрес конкретного магазина: "site: “адрес сайта” Статус заказа Получатель". Специалисты самой "Информзащиты" получили ссылки от человека, который обнаружил их на "специализированных сайтах по безопасности", говорит сотрудник компании.

По мнению экспертов, такого рода явления возникают, когда сайты (в данном случае, интернет-магазины) не указывают в специальном файле robots.txt разделы, которые запрещены для индексирования поисковиками, или указывают там неправильные параметры. "Мы рекомендуем администраторам сайтов внимательно изучать информацию о файле robots.txt и о его корректном использовании", - отметил представитель "Яндекса" Очир Манджиков:.

Представитель Google это прокомментировать вчера не смог. Представитель Microsoft (владеет поисковиком Bing) лишь констатировал: "Обычно любая информация, которая находится в общем доступе, может быть найдена и индексирована любым поисковиком". В Mail.ru Group отказались от комментариев.

Во вторник "Яндекс" на волне продолжающихся скандалов вокруг раскрытия частных данных пользователей в Интернете опубликовала рекомендации для владельцев сайтов и веб-мастеров, в которых разъясняет механизмы попадания подобной информации в Сети.

"Личную информацию посетителей сайта необходимо защитить, например, закрыть паролем. Если же такая информация никак не защищена, она запросто может стать доступна всем пользователям Сети. Для этого достаточно оставить где-нибудь в Интернете ссылку на страницу пользователя - хоть на страницу заказа, хоть на страницу регистрации", - говорится в разъяснении Владимира Иванова, представителя службы информационной безопасности "Яндекса".

"Вторая важная вещь - необходимо запретить поисковым роботам индексировать страницы сайтов с информацией, которая не должна стать публичной. Для этого существует файл robots.txt. Это текстовый файл, который предназначен для роботов поисковых систем. В этом файле вебмастер может указать параметры индексирования своего сайта как для всех роботов сразу, так и для каждой поисковой системы по отдельности", - подчеркивается в сообщении.

Роскомнадзор начал проверку фактов нарушения законодательства о персональных данных со стороны магазинов дистанционной торговли (интернет-магазинов), допустивших распространение сведений о покупателях в сети Интернет, говорится в сообщении, размещенном на сайте ведомства.

В настоящий момент выявлено уже 80 сетевых магазинов, которые допустили раскрытие персональных данных клиентов в Сети, в течение 26 июля планируется установить данные владельцев данных "точек" и передать информацию о них в органы прокуратуры для принятия мер прокурорского реагирования.

Как указывается в сообщении, раскрытие персональных данных клиентов является нарушением требований конфиденциальности персональных данных.

"Во вторник Служба направила письмо президенту Национальной ассоциации дистанционной торговли Александру Иванову с приглашением в Роскомнадзор с целью обсуждения сложившейся ситуации и выработки мер по недопущению нарушений требований конфиденциальности персональных данных. В компанию "Яндекс" направлено письмо с просьбой рассмотреть техническую возможность предоставления пользователям отказа в обработке запросов, позволяющих получить доступ к персональным данным граждан", - говорится в сообщении ведомства.

Как сообщалось, на прошлой неделе разразился скандал, когда выяснилось, что часть SMS-сообщений, оправленных с сайта сотового оператора "Мегафон", попали в кэш поисковой системы "Яндекс". В понедельник пользователи поисковика, введя определенным образом сформированный запрос, могли увидеть не только полные тексты сообщений, включая немалое количество нецензурных, но также номера, на которые они были отправлены.

Спустя несколько часов "Яндекс" удалил тексты SMS из поисковой выдачи, но к этому моменту в блогосфере уже вовсю бушевал скандал. "Яндекс" заявил, что появление в открытом доступе SMS-сообщений стало возможно из-за отсутствия на сайте "Мегафона" специального файла robots.txt. Он предназначен для роботов поисковых систем, веб-мастер может указать в нем параметры индексирования своего сайта.

"Яндекс" индексирует только открытую часть интернета - те страницы, которые доступны при переходе по ссылкам без ввода логина и пароля. Страницы, индексация которых запрещена администратором сайта в файле robots.txt, "Яндекс" не индексирует, даже если они находятся в открытой части интернета. Это соответствует всем общепринятым нормам и правилам взаимодействия в интернете", - подчеркнул "Яндекс".

"Мегафон" сообщил, что на его сайте произошел технический сбой, связанный с работой внешнего администратора. Технические специалисты "Мегафона", обнаружив сбой на сайте, незамедлительно его устранили. По данным сотовой компании, сбой коснулся крайне незначительной части SMS, отправленных с сайта. При этом он не затронул SMS-сообщения клиентов, отправленные через телефоны и другие мобильные устройства.