Еще одна утечка личной информации в поисковики
26 Jul 2011 | Автор: dd |Не успела улечься шумиха с утечкой мегафоновских смсок в Яндекс, как крупнейшая российская поисковая система оказалась снова замешана в инциденте с утечкой данных. На этот раз в свободное плаванье по индексу поисковой системы отправились данные клиентов российских интернет магазинов. При наборе в строке поиска Яндекса «inurl:0 inurl:b inurl:1 inurl:c статус заказа» поисковик возвращает 1к статусов последних заказов, в которых можно найти ФИО клиента, его домашний адрес, IP, а также то, что служит наибольшей причиной лулзов- собственно сам заказ.
Так, по инфе на вчерашний вечер, некоторых клиентов секс-шопа Sexyz.ru уже начали троллить в социальной сети “ВКонтакте”, ибо у них обнаружились какие то нереальные списки заказанных сексуальных игрушек.
Новость изначально коснулась только Яндекса, но позднее выяснилось что все эти данные также доступны и на большинстве поисковиков- Mail, Rambler, Google. Собственно как и в случае утечки информации с сайта Мегафон- индексация поисковиками стала возможной в связи с некорректной работой файла индексации интернет-магазина robots.txt.
Искренне сомневаюсь, что данная ошибка появилась вчера, скорее всего кто то из пытливых умов просто вышел на эту дырку безопасности, которому подвержена часть интернет магазинов, причем скорее всего их объединяет, помимо неправильно заполненного robots.txt, криворукие веб-мастера, которые создавали движок интернет магазина таким образом, что статусы заказов клиентов находятся в открытом доступе, и единственной защитой от индексации поисковыми системами является файл robots.txt. Надо отметить, что за подобное распространение личной информации интернет-магазин вполне реально может налететь на не плохой штраф.
Подобная проблема уже была с поисковой системой Google когда несколько лет назад она была лучшей помощницей хакера, так как помимо страниц сайтов, также индексировала всевозможные служебные страницы и фингерпринты CMS, так что её использовали для поиска сайтов подверженных тем или иным уязвимостям.
Так что прежде чем запускать какой либо сайт- проверьте имеется ли у вас вообще файл robots.txt и что в нем написано.Тем более учитывая тенденцию того что подобные бреши начали всплывать одна за другой, то вполне возможно что это целенаправленный слив информации, призванный повысить спрос на аудиты безопасности сайтов и информационных систем, то есть вполне возможно что поиском подобных брешей занимаются не любители, а специально набранная команда тестировщиков и специалистов по безопасности, у которых следуя слогану Яндекса- точно найдется все.
Мог бы понаписать много чего еще, но пошел проверять роботсы на своих сайтах. Ибо чем Яндекс не шутит.
З.Ы: Поковырявшись на сайте вышеозначенного сексшопа и других героев ленты яндекса, обнаружил что собственно это одна и та же платформа, и как оказалось- это сугубо российская поделка Shop-Script – за который люди еще платят бобло порядка 300 американских рублей. Полагаю что после такого замечательного и главное показательного пиара в интернете, у парней их поделка будет продаваться уже менее успешно. Так что развитие ситуации было видимо таким, что кто то случайно пробил Sexyz.ru, и дальше уже по фингерпринту движка ситуация пошла развиваться дальше. Тем более что для этого даже не надо было терзать поисковые системы запросами, а просто зайти на офф.сайт shop-script.ру в раздел партнеров, где и выложена часть сайтов, использующих данный движок. Сексшопов естественно в данном списке нет. 
На самом деле что касается сексошопов, то это вообще, если вдуматься очень скользкая тема, так как помимо моральных уродов которые будут доводить законопослушных граждан измывательствами, однозначно проявятся гоблины которые попробуют из этой информации выдавить копеечку, то есть это грозит как минимум шантажом, а в худшем и прямой наводкой на квартиру.
В дополнение к этому почтовые адреса этих граждан, попавшие в тираж также являются дорогостоящим продуктом, так как уже сами по себе сортированы по группам интересов, то есть именно то что называется Sales Lead.
Так что учитывая тот факт, что на Мегафон тем не менее уже подают в суд с исками в 30-50к рублей, то здесь все гораздо серьезнее и все таки у мегафона имеется своя сильная юридическая база, чего лишены торговцы самотыками, так что их однозначно будут иметь как тузик грелку. А они в свою очередь перевыставлять претензии к создателям дырявого двигла. Так что полагаю и интернет магазины, использовавшие дырявое двигло Shop-Script и самих быдлокодеров, продающих не тестированную поделку, ждет не мало приятных минут общения с судейскими.
Теги: IT безопасность, сайты, Сети
