Поисковики заглянули в корзины покупок
Оказывается, «Яндекс» умеет находить не только sms-сообщения «Мегафона», но и еще более личную информацию – фамилии, имена, адреса и содержание заказов покупателей некоторых интернет-магазинов. Впрочем, похожие данные индексируют и другие поисковикиО том, что «Яндекс» индексирует содержание заказов покупателей некоторых российских интернет-магазинов, вчера сообщила компания «Информзащита». Ее представитель разослал журналистам письмо со ссылками на результаты поиска «Яндекса», ведущие на страницы со статусами заказов. На этих страницах содержатся сами заказы, имена и фамилии покупателей, а также их электронные и почтовые адреса.
На прошлой неделе много шума наделала история с появлением в результатах поиска «Яндекса» sms-сообщений, отправленных абонентам «Мегафона» со специального сайта компании. Получить информацию о покупателях интернет-магазинов еще проще, говорит специалист департамента маркетинга «Информзащиты» Олег Глебов: их сайты часто создаются по стандартному шаблону, в котором используются одинаковые тэги, например order status. Проблема в том, что администраторы многих сайтов или не указывают в специальном файле robots.txt разделы, которые запрещены для индексирования поисковиками, или указывают там неправильные параметры, считает Глебов. С этим согласен представитель «Яндекса» Очир Манджиков: «Мы рекомендуем администраторам сайтов внимательно изучать информацию о файле robots.txt и о его корректном использовании».
Пострадал за робота
На прошлой неделе в социальных сетях появились ссылки на результаты поиска «Яндекса», где содержались тексты около 3000 sms-сообщений, отправленных с сайта «Мегафона». Представители «Мегафона» возложили ответственность на поисковик, а «Яндекс» сообщил, что на сайте оператора не было файла robots.txt с запретом на индексирование разделов с sms. В результате Союз потребителей России и Роскомнадзор подали иски к «Мегафону».
Обычный пользователь едва ли способен найти эту информацию без сторонней подсказки – для этого нужно освоить специальный язык запросов. Но «Информзащита» подсказку дала: надо ввести в поисковую строку «Яндекса» запросы «inurl:0 inurl:b inurl:1 inurl:c статус заказа» либо «inurl:ukey=order_status IP покупателя» или указать адрес конкретного магазина: «site: «адрес сайта» Статус заказа Получатель». Специалисты самой «Информзащиты» получили ссылки от человека, который обнаружил их на «специализированных сайтах по безопасности», говорит сотрудник компании.
Впрочем, находить в интернете закрытые данные умеет не только «Яндекс». Корреспондент «Ведомостей» ввел запросы со словами «order_status IP покупателя» в поисковые строки Google, Bing и Mail.ru и убедился: в результатах их поиска тоже появляются ссылки на страницы с персональными данными покупателей различных интернет-магазинов.
Представитель Google это прокомментировать вчера не смог. Представитель Microsoft (владеет поисковиком Bing) лишь констатировал: «Обычно любая информация, которая находится в общем доступе, может быть найдена и индексирована любым поисковиком». В Mail.ru Group отказались от комментариев.
Если задаться целью найти «уязвимости» с помощью запросов, то в поисковых системах можно найти массу интересной, в том числе и персональной, информации, говорит гендиректор «Ашманов и партнеры» Игорь Ашманов. Понятно, что поисковики индексируют все доступные им данные, если это не запрещено владельцами сайтов. Единственный выход для вебмастера, по мнению Ашманова, – правильно настраивать доступ к страницам и файл robots.txt, так как распознавать и отсеивать персональные данные – задача почти невозможная для поисковиков на современном уровне их развития.