Павел Медведев обнаружил новую утечку документов граждан РФ на множестве сайтов, в том числе в доменах Сбербанка и других, через поисковые запросы к Яндексу. Яндекс — найдётся всё (и ваши паспорта тоже)!
Пример поисковой строки.
Из ВТБ, «Сбербанка», сайтов государственных и муниципальных услуг Москвы и некоторых онлайн-магазинов утекли ФИО, номера карт, сканы паспортов, билеты на поезда и самолёты… В большинстве случаев скомпрометированные порталы пренебрегают элементарными требованиями защиты данных — у них даже отсутствует или неверно сконфигурирован файл robots.txt.
Вот, что можно, например, найти:
В комментариях подсказывают, что это "вновь вышла на связь" старая дыра 2011 года в движке Webasyst ShopScript3
Комментарии (231)
kentaskis
15.07.2018 10:17+45Хорошая попытка, Бургер Кинг, но нет.
Nashev
15.07.2018 17:57-1Для тех, кто как и я был в танке: Бургер Кинговское приложение сливало действия пользователя в нём, dailystorm.ru/obschestvo/prilozhenie-burger-king-shpionit-za-polzovatelyami-no-ne-tolko-ono
MasterArterius
15.07.2018 10:42+19Все вполне ожидаемо, гос сектор в РФ работает примерно так, сверху выделяется пара миллионов на проект (которые успешно пилятся), до программистов доходит тысяч 30-60, за эти деньги можно найти или студента или не особо квалифицированного сотрудника, на выходе получаем дырявое ПО.
P.s. Одно время работал в этих сферах, знаю о чем говорюXalium
15.07.2018 15:38-3ну теоретически приложение сбербанка тоже должно туда относиться.
Но оно вполне хорошееakurilov
15.07.2018 17:41Это у сбербанка то хорошее приложение?
0_0vaizmanai
15.07.2018 18:02+1Да.
tyderh
15.07.2018 23:11+1Вы действительно хороших, значит, не пробовали. У сбера мало того, что убогое, так еще и хочет телефонную книжку слить себе.
immaculate
16.07.2018 03:43Справедливости ради, у Сбера неплохое приложение. Я работал с приложениями банков, которые были намного хуже. В том числе, зарубежные большие банки.
EgorZanuda
16.07.2018 04:30Без доступа к слива телефонной книги приложение еще запускается, а вот с запретом доступа к сливу смс, приложение уже не открывается.
lDrakonl
16.07.2018 20:46Я вообще не разрешаю приложению ни смс ни книгу. И норм. Удручает только антивирус, который периодически запускается.
zartarn
16.07.2018 10:07Раньше подтупливало, долго грузилось из за антивиря встроенного, но с посоденим обновлением (неделя назад) любо дорого посомтреть. Работает шустро, всё работает как надо. Мне очень даже.
EgorZanuda
16.07.2018 10:25Как раз это плата за копирование всех твоих СМС сообщений на сервера сбербанка.
zartarn
16.07.2018 10:34Во первых — У меня там только смски от сбербанка.
Во вторыхИ всё работает спокойно.
zenches
16.07.2018 20:46С месяц назад Android-приложение сбера напрочь отказывалось стартовать, если не предоставить доступ к СМС.
Собственно, тогда я с ним и попрощался.
tyderh
16.07.2018 12:23долго грузилось из за антивиря встроенного
Об "антивире", сливающем им данные обо всех установленных и устанавливаемых приложениях я уже и счастливо забыл, спасибо за напоминание.
zartarn
16.07.2018 12:37А есть ссылока для почитать поподробнее?
А чего он может там такого страшного слить/рассказать? у меня как раз самое критичное, это сберовское прилоежние. Смски и контакты, как выше на скрине видно — я ему запретил.
А разве не любой антивирус собирает инфу обо всем на устройсвте и отправляет ее, в довольно обезличенном виде? Вроде бы это уже давно обычная практика.tyderh
16.07.2018 12:41Когда я пользуюсь онлайн-банком, я хочу пользоваться онлайн-банком. Сбербанк-онлайн же пользуется мной и эту вредоносную функциональность отключить не дает.
А разве не любой антивирус собирает инфу обо всем на устройсвте и отправляет ее, в довольно обезличенном виде?
А где гарантии, что он делает это в обезличенном виде и в одном из апдейтов не перестанет? Нафига мне вообще антивирус на android?
А есть ссылока для почитать поподробнее?
Тут ничего читать не нужно, он слушает интенты установки приложений и отправляет их все на сервер. Если что-то "вредоносное" — сразу будет видно уведомление от типа-антивируса.
А чего он может там такого страшного слить/рассказать?
Это банк, у которого ни стыда, не совести. Им нужны данные ради данных, чтобы (не) выдавать кредиты. Они каким-то образом умудрились получить мои паспортные данные и адрес проживания еще до того, как я стал их клиентом.
Это еще можно вспомнить о том, что если по какой-то причине он посчитает девайс рутованным (например Wileyfox, который из коробки с цианогенмодом), то тебе придется действительно его рутовать, чтобы полноценно пользоваться всеми функциями.
zartarn
16.07.2018 12:47Когда я пользуюсь онлайн-банком, я хочу пользоваться онлайн-банком. Сбербанк-онлайн же пользуется мной и эту вредоносную функциональность отключить не дает.
Он пытается обезопасить себя и клиента (официальная позиция). При наличии рут прав доступны только шаблоны (яб пользовался только шаблонами в приложении, но у них нет такой урезанной версии увы).
А где гарантии, что он делает это в обезличенном виде и в одном из апдейтов не перестанет?
Презумпция невиновности, доказательств обратного небыло.
Тут ничего читать не нужно, он слушает интенты установки приложений и отправляет их все на сервер. Если что-то «вредоносное» — сразу будет видно уведомление от типа-антивируса.
У меня он в фоне никогда не висел, может поэтмоу и не видел.
Они каким-то образом умудрились получить мои паспортные данные и адрес проживания еще до того, как я стал их клиентом.
Любой из работодателей мог поделиться. Мы же не контролируем что как идут отчисления, все на работодателе.
Да и учитывая как часто и где светится паспорт, уже как то сложно считать его персональными данными. :(tyderh
16.07.2018 12:55У меня он в фоне никогда не висел, может поэтмоу и не видел.
Ему не нужно висеть в фоне, чтобы слушать интенты.
Он пытается обезопасить себя и клиента (официальная позиция).
Да плевать на эту позицию. Победа вон ради "снижения стоимости билетов" не дает пассажирам меняться местами, даже если из-за этого родители и дети летят не рядом. Я считаю, аналогичного качества официальная позиция.
Презумпция невиновности, доказательств обратного небыло.
Тут есть презумция сбербанка, который уже необезличенно сливает себе телефонную книжку и смс.
Любой из работодателей мог поделиться. Мы же не контролируем что как идут отчисления, все на работодателе.
Никаких работодателей не было.
Да и учитывая как часто и где светится паспорт, уже как то сложно считать его персональными данными. :(
Ну да, с отношением "презумпции невиновности" в отношении приложений, которые чуть ли не звуки пердежа уже записывают и сливают — не удивительно.
Tomasina
15.07.2018 20:24По сравнению с МБ других банков оно еще весьма на неплохом уровне по юзабельности.
scg
15.07.2018 19:09Сбербанк один из самых щедрых работодателей в IT сфере. Хороших программистов там много.
Eagle_NN
15.07.2018 21:35Тут выкладывали их HR'ов… Такие запросто что угодно развалят :)
Да и пересекался я по работе с выходцами сбертеха. Далеко не все там радужно, хотя и платят.scg
15.07.2018 23:13Ну, в оригинальном комментарии, наоборот хвалили приложение Сбербанка :) У меня тоже пару бывших коллег ушли в Сбер, и ничего плохого о них сказать не могу. А вот меня не взяли :)))
Eagle_NN
16.07.2018 11:43В этой ветке комментариев основной посыл в том, что мало набрать отличных программеров. Надо еще уметь делать продукт. Т.е. создать такую команду которая сможет это сделать.
Подходы разные к этому бывают. Иерархия с архитекторами во главе. Почти плоская структура когда всем рулят тимлиды. Смешанные подходы. Не суть, главное чтобы энергию талантливых программеров кто-то направлял в правильное русло.
Sabubu
15.07.2018 17:54+1Но проблема еще и в культуре самих разработчиков, даже на Хабре в комментариях можно увидеть легкомысленное отношение к сбору перс. данных («все собирают», «все о нас и так известно, ничего не поделать», «вы же сами все в соцсети выкладываете»). Не хотелось бы, чтобы таким доверяли разработку приложений.
DistortNeo
15.07.2018 19:32+1Дело даже не в распиле, а в том, что в случае госфинансирования цена имеет большее значение, чем качество.
Платить адекватные суммы исполнителям попросту невозможно из-за госконтроля. Ситуация, когда конечный программист получает больше денег, чем начальники, в госструктурах просто немыслима. Поэтому, когда проект таки надо сделать хорошо трудом квалифицированных специалистов, приходится искусственно завышать трудоёмкость и нанимать левых людей, которые будут раз в месяц снимать зарплату и отдавать её обратно.MasterArterius
15.07.2018 23:02Окей, вот реальный пример, 3 программиста зп 30к-50к, проект ровно на 1 месяц, контора за него получила 1кк, итого 150к на прогеров, понятно что налоги еще, но все же
Если у директора зп 500к тогда вопросов нет (а чем это не распил ?)
Sabubu
16.07.2018 04:12Вы странные вещи пишете. «Честно работать нельзя, потому давайте обманывать». Но я не вижу тут логики. Я не понимаю, что мешает «госконторе» нанять хороших высокооплачиваемых разработчиков. Если там есть какие-то ограничения на зарплаты, то тогда госконтора может провести торги и заказать разработку у коммерческой компании без таких ограничений.
Умников, которые делают все эти трюки со снятием зарплат, надо разоблачать и сажать в тюрьму. Либо работайте честно, либо не работайте вообще.Sabubu
16.07.2018 04:20Да и вообще, с каких пор «госконторы» должны разрабатывать ПО? У нас что, задача государства заниматься разработкой ОП? Разве что что-то военное и секретное. Все остальное должны делать коммерческие компании.
immaculate
16.07.2018 06:53Почему нет? Вот даже в США, которых многие на Хабре считают образцом во всем, в US Air Force решили писать код сами. Конечно, не только они пишут, просто это первое что вспомнилось, так как об этом недавно писали на Hacker News.
Areso
16.07.2018 08:50А потом рассказывают смешные анекдоты про деление на ноль в ПО самолетов при полетах в районе Мертвого Моря.
DistortNeo
16.07.2018 12:32Военного и секретного не так уж и мало. Просто посмотрите на структуру бюджета нашей страны.
DistortNeo
16.07.2018 12:27Я не понимаю, что мешает «госконторе» нанять хороших высокооплачиваемых разработчиков.
Невозможность платить им конкурентоспособную зарплату.
Если там есть какие-то ограничения на зарплаты, то тогда госконтора может провести торги и заказать разработку у коммерческой компании без таких ограничений.
Ага, если контракт на 9 месяцев, то собственно на работу остаётся 7 месяцев (время на оформление + работы должны быть выполнены за месяц до окончания контракта). Если же отдавать заказ сторонней фирме, то вычитаем ещё 4 месяца (2 месяца — торги, месяц — оформление, месяц — сдача), остаётся 3 месяца на работу. Как-то маловато, не находите?
К тому же, есть контракты, в которых явно прописана трудоёмкость в человеко-месяцах, и исходя из этой трудоёмкости и расчитывается стоимость контракта. И фактические трудозатраты должны совпасть с проектными. То есть даже если отдать разработку коммерческой компании, она тоже не сможет решить задачу меньшим числом людей.
Умников, которые делают все эти трюки со снятием зарплат, надо разоблачать и сажать в тюрьму. Либо работайте честно, либо не работайте вообще.
Так я не против. Но тогда придётся посадить половину страны (включая получающих серую зарплату и их работодателей), а у нас столько мест в тюрьмах нет.
Бороться надо с причиной, а не со следствием.
JobberNet
16.07.2018 13:01тогда придётся посадить половину страны (включая получающих серую зарплату и их работодателей), а у нас столько мест в тюрьмах нет
Увы, наличие мест совсем не обязательно:
— вывезти в Сибирь
— высадить в тайге
— поставить вокруг охрану
— раздать всем пилы
— кто не построит барак до заката будет ночевать на морозе
pavel_1406
16.07.2018 07:21Вопрос не в пилеже, это не те деньги, которые интересны. Есть сферы где это намного выгоднее.
Главный враг — это забюрократизированность процесса и в связи с этим огромное количество административных работников, которые тоже хотят кушать.
Программист не будет готовить пакет проектной документации, готовить отчеты и улаживать вопросы соответствия регламентам и лицензирования.
Поэтому и получается, что в проекте львиная доля работы и денег на персонал уходит на бюрократию.
А причина — в выстроенной огромной неповоротливой вертикальной структуре гос аппарата.
DistortNeo
16.07.2018 12:43Считайте это аналогом БОД.
Areso
16.07.2018 13:05БОД позволяет самореализовываться (складывать и продавать оригами, заниматься йогой), начинать бизнес, да лежать на диване в конце концов, а не заниматься ИБД, попутно ненавидя все человечество.
makioro
17.07.2018 13:36Вопрос не в пилеже, это не те деньги, которые интересны. Есть сферы где это намного выгоднее.
Не каждый чиновник имеет доступ к распилу любой сферы
Кто-то пилит миллиардами, кто-то миллионами, а кто-то тысячами
Fortune777
16.07.2018 13:32Так вот почему меня бесят все государственные сайты… Интерфейс неудобный, везде шняги всякие вылазят — то текст наложен друг на друга, то ссылка в никуда ведет…
maxzhurkin
15.07.2018 11:01+11Да что за привычка!?
То пробел посреди слова воткнут, то дефис!
Слова «посерьёзнее», «получше», «похуже» и т. п. пишут слитноJeditobe Автор
15.07.2018 12:16-9Вы всегда можете изложить свои мысли по поводу грамматики и синтаксиса в личных сообщениях. Я вот сейчас исправлю, а ваш комментарий сейчас же станет очень странно выглядеть…
withkittens
15.07.2018 15:02+7Отлично комментарий будет выглядеть. Кто-то обратит внимание, запомнит и не напишет в следующий раз «по-хуже».
Более того, большинство людей тут не глупые: они делают так, как им удобнее, а не как якобы кем-то там принято. Написать об ошибках в комментариях намного проще, чем открывать новую вкладку (мы же хотим статью дальше читать?), выискивать личные сообщения, здороваться, указывать ссылку, где, дескать, эти самые ошибки спрятались, и т.д.
Вот вам мемесик на тему
9660
16.07.2018 09:02они делают так, как им удобнее, а не как якобы кем-то там принято
Это и про следование грамматике можно сказать не изменив ни буквы.
olgerdovich
15.07.2018 15:23+2замечательно выглядит комментарий, просто великолепно!
и, кстати, намного лучше вашего.
maxzhurkin
15.07.2018 15:32+2По поводу основного текста статьи я бы с вами согласился.
Автор статьи всегда может десять раз погуглить и десять раз спросить товарища, как грамотно написать заголовок, благо текста в заголовке кот наплакал. И вы этот шанс упустили
P.S. И это не просто мысли, это факт
P.P.S. В следующий раз придётся эту ремарку про комментарии и личные сообщения сразу писать
maxzhurkin
15.07.2018 15:38Вы обещали исправить заголовок, а на самом деле, изменили его.
Я имею в виду, что исправленный заголовок звучал бы «Забудьте про Бургер Кинг! Есть утечка документов посерьёзнее»
Xalium
15.07.2018 15:40+1вы всегда можете запихать то, что написали, в ворд и ему подобное.
даже вместе с тегами косяки видно сразу
justhabrauser
15.07.2018 21:55Есть еще слово «истчо».
Коллега — тут в комментариях «кино и немцы», а Вы к автору дорвались…
Хотя да — такие вещи лучше выносить за пределы «лички».
Что бы прекратить эти ваши «рассупонилось».maxzhurkin
16.07.2018 20:39Вот Вы, к примеру, в слово «чтобы» зачем-то пробел вставили (но в сочетании «что бы то ни было» и, возможно в некоторых других местах, слова «что» и «бы» пишутся отдельно)
justhabrauser
16.07.2018 23:35«C чем поведешься — от того и забеременеешь». Набрался же этих ваших интернетов.
«Чтобы» конечно же.
saintbyte
15.07.2018 11:27+5Тут блок с вакансиями как бы намекает почему столько всего утекает: «Специалист по защите информации ИНВИТРО Москва от 85 000 до 115 000 ».
Listrigon
15.07.2018 12:43+2А что, 115 000 это прямо вот так СОВСЕМ мало для Москвы?
gecube
15.07.2018 13:24+3Вообще-то, ниже среднего, да
Listrigon
15.07.2018 13:34Из комментария мне показалось, что 115 000 это не просто ниже среднего, а дно, на которое пойдет только совершенно некомпетентный работник.
edogs
15.07.2018 14:09+3Для специалиста по защите информации который будет работать в крупной медицинской фирме с кучей отделений 115к действительно дно.
Это не «поправить верстку» и «добавить пару полей в базе» где даже для москвы 30к за глаза и за уши.GregFisher
16.07.2018 07:16Причем тут ИБ, и «поправить верстку и пару полей в базе»? :) Любая контора, которая присутствует в сети и заботится о своей безопасности, должна правильно выстраивать структуру отдела, а значит отдел разработки должен включать в себя php, java и др. прогеров, верстальщиков, которые непосредственно подчиняются и отчитываются ИБэшнику.
Если у вас 1 IT-шник программист-верстальщик-ибэшник, скоро конторе придет пи… ц :)
DMGarikk
16.07.2018 09:23Это не «поправить верстку» и «добавить пару полей в базе» где даже для москвы 30к за глаза и за уши.
в Москве 30к это зарплата оператора техподдержки банка, с нулевыми знаниями. туда берут всех подряд кто говорить умеет
а вот «поправить верстку» и «добавить пару полей» это уже какая никакая квалификация
Suvitruf
15.07.2018 13:28+13ИНВИТРО — шарашкина контора. Я к ним 3 года назад ходил на собеседование как Android разработчик. Предложили 70к на руки и 30к в конверте. Знаете как они оправдывали конверты? Цитирую:
У нас прошлые сотрудники плохо работали, поэтому мы решили так подстраховываться теперь. Если вы будете плохо работать, то конвертика не получите
gecube
15.07.2018 15:15+6Есть варианты, как делать то же самое по ТК (смотрим — премирование по результатам или kpi), поэтому — да, з/п в конвертах — плохой звоночек
Xalium
15.07.2018 15:47+1всегда думал, что конвертики только для того, чтобы не платить налоги.
А тут оказывается еще чего то есть… (ирония если что)DistortNeo
15.07.2018 16:59Учитывая, что 3 года назад зарплаты 70к было достаточно для достижения предельной базы, выше которой налоги существенно ниже это действительно странно.
dmitry_dvm
15.07.2018 23:40Расскажите поподробней про базу?
Areso
16.07.2018 08:56Пенсионные (самые большие, в общем-то) взносы считаются в районе 22% до определенного порога дохода за год. А дальше процент налогов сильно падает (до 10%).
www.notariato.ru/article/a00009-predelnaja-velichina-bazy-dlja-nachislenija-strahovyh-vznosov
Гуглить Регрессивная шкала для взносов / предельная база.
Для ФСС отчислений это тоже верно.
Inine
15.07.2018 17:50+1Да там много для чего. И для «болеете за свой счет» и для «новогоднюю неделю работаете, либо отдыхаете за свой счет» и так далее.
AvioD
16.07.2018 19:28Вы бы спросили, раз такие пироги, то если хорошо будете работать — вам два конвертика с 30к выдадут? Или они предпочитают исключительно метод кнута и кнута, без пряника?
А если серьезно, наглость ужасная. Я бы не счел возможным продолжать собеседование после таких заявлений.
anador
15.07.2018 11:29+6Ну вы серьезно? Это уже даже не смешно
www.anti-malware.ru/news/2011-07-25/4373
Andy_U
15.07.2018 11:36С билетами бывает интереснее.
Как-то получил на свою gmail почту вида <имя>.<фамилия>@gmail.com подтверждение какого-то левого бронирования на рейс со ссылкой на само бронирование с возможностью его изменение/отмены. По-видимому, мой однофамилец почему-то указал мой e-mail. Или ошибся, или своей почты не было? Авиакомпанию за давностью лет не помню. Или это на поезд было?
booking.com тоже интересно поступает — в pdf-документе в начале кроме номера есть еще и пин-код, который разрешает редактирование. Так что если вам бронирование нужно представить, например, в консульство для получения визы, то хоть бритвой вырезай из бумажной копии.belyvoron
15.07.2018 12:52+3авиабилеты вы тоже в консульство предоставляете. И по номеру билета и вашей фамилии его тоже можно редактировать.
Передавать такие данные, конечно, не секурно, но штука в том, что вы передаёте их не абы кому, а консульству той страны, куда едете. Отменить вам бронь гостиницы? зачем? чтобы вы потом у них в стране бомжевали? Всё, что можно сделать с этой бронью, не входит в их интересы. И наоборот, эти данные необходимы, чтобы легко проверить действительность брони.Andy_U
15.07.2018 14:33+2Если бы прямо в консульство. Те же французы в СПб принимают документы через посредника.
maxzhurkin
15.07.2018 15:46Отсутствие у лишнего получателя мотивации на использование информации не делает его получателем не лишним
dom1n1k
15.07.2018 16:19+7Вот это типичная ошибка — забывать, что за каждой системой и организацией всегда стоят обычные людишки. Много людишек, как бы работающих от имени организации, но имеющие личный доступ к данным. И у них может быть тысяча видов личной мотивации — от банального развлечения до вербовки третьих стран.
Типа, зачем я сдался Гуглу? Зачем я сдался консульству Зимбабве? Как будто консульство Зимбабве это такой монолитный организм, который всегда действует логично и непротиворечиво. Но на самом деле это десятки и сотни разных людей и каждый из них — это потенциальный канал утечки.
i7G
16.07.2018 20:47Офтоп, вы мне напомнили. У меня тоже есть такой старый ящик abc.def@gmail.com, и мне иногда приходила чужая почта (в т.ч. сканы документов), предназначенная для abcdefX@gmail.com. Посмотрите у себя поле to, похоже на такой же случай.
Кстати, и.м.я.ф.а.м.и.л.и.я@gmail.com == <имя>.<фамилия>@gmail.comAndy_U
16.07.2018 21:10Про этот фокус в курсе. А той истории уже несколько лет и я тогда от греха стер то письмо нафиг.
decomeron
15.07.2018 11:48-3Бесконечно можно смотреть на три вещи: как горит огонь, как течет вода и на как пишут про Бургер Кинг
gecube
15.07.2018 11:54+5Я бы спрогнозировал другое. Еще неделя хайпа вокруг БургерКинга и других операторов ПД и как бы государство не начало закручивать гайки в сфере интернета дальше. Телеграм заблокировали, впны нужно регистрироваться, веерные блокировки, посадки неугодных блоггеров… что дальше? Рождение Чебурнета? С доступом по заявке в ФСБ?
GeekberryFinn
15.07.2018 12:01+6Яндекс вновь ищет слишком хорошо!
А причём тут Яндекс?!
Не Яндекс ведь эту дыру создал. Нашёл Яндекс — найдёт и любой другой поисковик.
Jeditobe — скажи честно, ты чё гуманитарий?
Если нет, то с чего это ты считаешь виновным в утечке поисковик, а не тех кто выложил?!gecube
15.07.2018 12:07+5Согласен, вина яндекса сомнительна. Единственное участие Я здесь может быть, как в случае Гугль и Гугль Хром десяток лет назад, когда браузер «сливал» в поисковик ссылки на страницы для лучшего покрытия интернета поиском. Иногда «утекали» и ссылки на конфиденциальные ресурсы, которые потом из поисковой выдачи оперативно убирались. Но это проблема выкладывания документов по «секретным» ссылкам с неким идентификатором без парольной зашиты или авторизации прльзователя
AllexIn
15.07.2018 12:14+11Причему тут Яндекс?
Намекну встречным вопросом: а как яндекс получил ссылку, которая нигде не была опубликована?Am0ralist
15.07.2018 12:21+1Блин, ну что, никто не может это проверить, отслеживая стринги в реале? И запилить статью?
Или там такая защищенная система слива инфы, что её не реально ломануть?DracoL1ch
15.07.2018 12:36+7Неоднократно в комментариях писали, что после посещения секретных ссылок через ЯБ вскоре на ту же страницу забегал яндекс бот. В 2015 году уже были замечены прецеденты утечки ссылок как таковых в индекс
habr.com/post/262695 -> roem.ru/17-07-2015/200620/yandeksbot-hodit-po-privatnym-ssylkamVolCh
15.07.2018 20:22-2Ссылка не может быть секретной.
Areso
15.07.2018 21:13+1Но она может быть в закрытом для индексации разделе (robots). Но правила такие правила.
niknamezanat
16.07.2018 08:22Если кто-то мечтает о том, что кто-то будет работать по правилам, которые даже законодательно не закреплены, то я не знаю как этого человека назвать. Хотя да, тут сейчас всякие GDPRы вылазят и всякие прецеденты с Цукербергами в сенате, но это капля в море. Регистрация с подтверждением через телефон, сканы паспортов и прочее и прочее — это и есть корень зла. Надо сразу по ручкам шаловливым бить за злоупотребление требованием с клиентов вот этих самых персональных данных.
lair
15.07.2018 13:56+6Jeditobe — скажи честно, ты чё гуманитарий?
… а вы по каким-то причинам считаете гуманитариев неспособными к логическим построениям?
GeekberryFinn
15.07.2018 14:30-9Считаю не знающими особенностью работы технологий. Гуманитарий всерьёз может считать, что Яндекс способен дать ссылку на нерасшаренные файлы на C:
Некоторые, даже, когда просят ссылку на файл присылают «ссылку» вида «C:\Мои Документы\Документ.doc»MTyrz
15.07.2018 15:35+2Это Ларри Уолл. Дипломированный гуманитарий с лингвистическим образованием.
olgerdovich
15.07.2018 15:42+2С учетом выразительности фотографии вполне уместно смотрелось бы добавить в текст вашего комментария фразочку-вопрос «а чего добился ты?»
Dmitry_Dor
15.07.2018 16:15+3Дипломированный гуманитарий с лингвистическим образованием. Создатель языка Perl.
[sarcasm on]
Лингвист, язык создал :-D
snow_wons
15.07.2018 22:10Вы таки не поверите, но первый диплом у него это Специалист по защите информации…
x893
15.07.2018 12:01Мне кажется — это последствия низкой квалицикации на фоне огромного самомнения.
Это не только к программированию относится.
patogenych
15.07.2018 12:26ezhoping.wordpress.com/2011/07/27/inurl-0-inurl-b-inurl-1-inurl-c
Статья 2011 года, ничего особо не поменялось.
denis-19
15.07.2018 12:42+12011 год.
…в интернет-магазинах, работающих на основе решения WebAsyst, пользователи могут оформлять покупку без обязательной регистрации в магазине, то есть без создания аккаунта с паролем. Как объяснили разработчики, после оформления заказа пользователю отправляется прямая ссылка на страницу с информацией о заказе и его статусе. «Эта ссылка отправляется покупателю на почтовый ящик, после перехода по ссылке пользователю показывается страница с информацией о совершенному заказе, и именно такие страницы и проиндексировал «Яндекс»
jehy
15.07.2018 13:54+12Скриншот фейсбука, на котором пост со скриншотами… Абсолютно нечитаемо.
Вы пробили дно, которым я всегда считал скриншот в вордовом документе.SemperPeritus
15.07.2018 14:26+1Фотография скриншота скриншотов из поста в фейсбуке?
Vsevo10d
15.07.2018 14:29+2Бесит, что в статью, которую и так прочитают, надо во имя кликбейтности пихнуть в заголовок БК-word.
Darth_Malok
15.07.2018 14:48+1Извиняюсь за возможно тупой вопрос, но почему строка для поиска выглядит так «странно»?
Ведь «inurl» — поиск по адресу. Почему именно «inurl:0 inurl:b inurl:1 inurl:c»? Выглядит как заклинание)DistortNeo
15.07.2018 17:06Если просто вбить «статус заказа», то ничего подобного не найдётся. Поисковые системы ранжируют страницы, в результате будут выданы обычные информационные страницы.
Дальше задача простая: поломать это ранжирование. Видимо, дополнительные условия его и ломают.
lazarenky
16.07.2018 07:19Секретные ссылки состоят из случайного набора цифр и букв. Думаю, эти параметры добавили для исключения из результатов «неинтересных» страниц со словами «статус заказа» (например, справочных статей).
Можно изменить конкретные значения, трюк всё ещё будет работать:
inurl:3 inurl:a inurl:b inurl:4 статус заказа
Sabubu
15.07.2018 17:50Паспортные данные? Это же прекрасно, можно во всяких яндекс-деньгах получать подтвержденный аккаунт, не рискуя своими данными.
А если серьезноШучу, конечно. Делать так не стоит. Лучше делать что-то с этим раздолбайским отношением к нашим ПД.molnij
15.07.2018 18:03Разве? Вроде бы, раньше, когда я еще считал, что ЯД можно пользоваться, все пути валидации приводили к необходимости предъявлять настоящий паспорт тем или иным путём
dartraiden
15.07.2018 18:31Нет, требуют только ввести паспортные данные. В текстовом виде.
molnij
15.07.2018 18:44+1ого, то есть последущую верификацию через офис или contact или что-то там еще отменили?
dartraiden
15.07.2018 22:19
Для «именного» кошелька хватает как раз тех самых паспортных данных в текстовом виде.molnij
16.07.2018 09:22Повторюсь, не знаю, как там сейчас на самом деле, но если верить их же документации yandex.ru/support/money/identification/upgrade.html, то просто указанием паспортных данных в текстовом виде дело не ограничится…
DarkByte
16.07.2018 12:42Недавно пришёл перевод на не подтверждённый аккаунт, для его получения яндекс попросил ввести паспортные данные. После их ввода прошло несколько часов «подтверждения» и написали что всё ок, деньги зачислены.
dartraiden
16.07.2018 15:48Всё верно, это третий уровень со скриншота, где требуется личное присутствие или идентификация через Сбербанк. А первые два личного присутствия не требуют.
Sabubu
15.07.2018 19:28Сканы документов (утекающие из всяких контор займов) довольно за недорого продаются на черном рынке. В общем, как всегда, вся эта система только доставляет неудобства законопослушным гражданам и обходится не-законопослушными.
purrrminator
15.07.2018 19:00-6Зачем вы опубликовали это? Вы не чувствуете ответственность и вину в том, что большее количество людей из-за вас будет подвержено опасности? «Смотрите-смотрите, что я нашел! Какой я классный!»
vikarti
15.07.2018 19:47А уж как за саморекламой те кто нашли Meltdown/Spectre или (что ближе) Heartbleed гнались то, не думали о тех, кто будет подвержден из-за них опасности.
pyrk2142
15.07.2018 20:15+3Вообще, люди подвержены опасности не из-за того, что кто-то опубликовал информацию об уязвимости и проблеме, а из-за того, что эта уязвимость есть. Публикации иногда приводят к закрытию уязвимостей, что довольно хорошо.
А вообще, я предлагаю исходить из достаточно простого принципа «Хакер уже знает»: если кто-то нашел уязвимость (при этом она не какая-то абсолютно новая, уникальная, очень сложная или крайне неочевидная), то с достаточно большой вероятностью какие-то злоумышленники или уже знают о ней, или легко узнают, если будут копаться в этом сервисе. Поэтому защита чьих-то данных через отказ от публикации информации об уязвимостях не работает, так как скрывает возможную утечку от пользователей, но не от профессиональных злоумышленников.
TigerClaw
15.07.2018 19:44Эта дыра старая несколько лет назад тут же развлекались просматривая заказы в секс-шопе.
confa
15.07.2018 22:07POSTED BY EZHOPPING ? ИЮЛЬ 27, 2011
ezhoping.wordpress.com/2011/07/27/inurl-0-inurl-b-inurl-1-inurl-cPinsky
15.07.2018 22:36Через DuckDuckGo до сих пор находятся заказы с персональными данными
И, к слову, Cropp выдал мне заказ с подробными личными данными покупателя.
ilya_pu
15.07.2018 23:09Каким был поисковый запрос, выдавший такие результаты? Пока не повторю сей опыт сам — не поверю (хотя бы потому, что какие-то данные вполне могут храниться на моём компьютере, и следовательно — если я покупал билеты, базовую информацию про них можно вытащить из кеша, а не с сайта, а коллекция скриншотов — тоже не может служить подтверждением сливу информации в полной мере)
Pinsky
16.07.2018 00:42В DuckDuckGo получил информацию о покупателях билетов на автобусные рейсы и на самолет по запросу: «inurl:order информация о пассажире»
ilya_pu
16.07.2018 19:54+1Слив информации обо мне НЕ подтверждаю, искал по-всякому (хотя мы с женой и покупали билеты и на поезд, и на самолёт — если скриншот под заголовком статьи не врёт, то тот же сайт РЖД тоже оказался скомпрометирован?).
P.S. Всё равно, даже несмотря на то, что конкретно в моём случае слива информации не было, предупреждён — значит вооружён…
P.P.S. Возможно, нужно меньше доверять сайтам-интеграторам?
slavait
16.07.2018 00:15А вы забыли, что живете в России. Кому что доказать хотите?
Мы и так давно знаем, что нас «шмонают» при каждом включении телефона или компьютера.
Если в суда себя защитить нельзя, а там нельзя! То что делать?
Даже верховный суд по сотню раз отвечает одними и теми же ответами, а судьи продолжают подобные дела рассматривать на свое усмотрение не обращая внимание, на то что издал верховный суд.
Если суд начался, то жаловаться вообще куда либо смысла нет, «независимый» орган может делать, что вздумается. Любой чиновник отъезжает — решение суда не обсуждается.
Меня вообще повеселило, когда услышал, что в этой системе вторая черная зарплата в порядке вещей.
Пока нет рабочего органа по защите того, что написано в законе, вообще о чем либо другом говорить смысла нет.
grims
16.07.2018 00:37Хорошо что я старовер, и всегда плачу наличкой, и в соцсетях меня нет кроме Хабра.
lair
16.07.2018 01:57всегда плачу наличкой
Знаете, я вот только что был в паре стран, где в некоторых местах просто нельзя расплатиться наличкой. Одно из таких мест — хороший кабак, еще одно — общественные туалеты на станциях ж/д. А иногда наличкой расплатиться можно, но сдачи не дают (и об этом заранее везде сказано).
(ну и я так понимаю, через интернет вы никогда ничего не покупаете, да?)
Am0ralist
16.07.2018 12:14(ну и я так понимаю, через интернет вы никогда ничего не покупаете, да?)
а он не своими!
OneByte
16.07.2018 07:20«Никогда такого не было — и вот опять...» (с) В.Черномырдин
Года три назад, общаясь на одном компьютерном форуме по поводу облаков, я высказал предположение, что всеобщая увлеченность облачными сервисами будет продолжаться до какого-нибудь эпичного слива закрытой информации. Судя по участившимся новостям на эту тему, это время уже не за горами. Все знают преимущества облаков — экономия на «железе», удобнее вести разработку, сопровождение, распространять обновления и новые версии и т.п. Но все это перечеркивает один неприятный факт — данные и сервера находятся где-то далеко, а часто вообще «за океаном у дяди Сэма» и могут оказаться недоступны для использования (или наоборот — оказаться доступны для использования теми, кому не положено) в самый неподходящий момент. Причем недавние новости о неустранимых аппаратных багах процессоров, позволяющих нарушать защиту адресного пространства памяти и влезать в виртуальные машины других процессов серверов не добавляют оптимизма по поводу безопасности облачных сервисов. Приведенный в этой статье очередной слив не предназначенной для широкого распространения информации наводит на мысль о том, что наверное маятнику прогресса уже пора опять качнуться от условных «майнфреймов» в сторону распределенных систем. Ведь устойчивость и безопасность распределенных информационных систем намного выше, что подтверждает безотказное функционирование Интернет на протяжении десятилетий. Меня вот как-то напрягает то, что электронные медицинские карты будут храниться в облаках… это получается, что если вдруг основной и резервный каналы доступа к Интернет какой-либо больницы выйдут из строя, то врачи не смогут запросить медицинскую карту больного?
Я помню, как в 1998 году более пяти часов стоял у кассы аэропорта Домодедово и не мог купить билет, потому что «упал» центральный сервер системы «Сирена» и кассиры не могли продавать билеты, т.к. не знали, сколько их уже продано на рейс. Продавали места лишь «на подсадку» и самолеты улетали полупустыми весь день. С тех пор прошло двадцать лет и в такую же ситуацию можно попасть с билетами на поезд и на автобус… может быть пора задуматься о надежности этих систем? Тем более, что скоро контроль над ними будет повсеместно передаваться ИИ, т.к. люди уже не могут обрабатывать такие большие объемы информации и принимать правильные решения. В правильном-ли направлении идет прогресс в области развития информационных технологий?
timur102
16.07.2018 07:20ссылка
И этот пост 2011 года. Уже 7 лет уязвимости?Vilgelm
16.07.2018 08:03Это не то что бы уязвимость, точнее не со стороны Яндекса. Возможно в Webasyst она и закрыта, но есть куча необновленных сайтов (по разным причинам: кто-то пиратку использует, а кто-то не хочет все чинить после обновления).
BobrBobr
16.07.2018 07:20Ребята, я вам открою секреет почему происходят такие утечки.
Дело в том, что счётчик Метрики Яндекса, который часто устанавливают владельцы сайтов для статистики, посылает содержимое страниц на серверы яндекса. Это делается якобы для лучшей индексации. Поэтому эти страницы появляются в поиске.
Метрика Яндекса делает это по умолчанию. Отключается опцией в настройках. По-хорошему их бы наказать за такое, но ни у кого пока руки не дошли.Vilgelm
16.07.2018 08:08Берем первый попавшийся документ без ПД по ссылке из статьи и пробуем там найти Метрику. Ее нет. Есть Google Analytics, есть li.ru.
Пробуем найти эту ссылку в Google: ничего не найдено.
Так что в данном случае не через Метрику слив, хотя она тоже сливает.
slavait
16.07.2018 09:30Меня удивляет с каким рвением многие, без разбора, вешают интеграцию внешних скриптов на свои сайты. По теории вероятности, даже ничтожное событие случается с огромной регулярностью.
advolit
16.07.2018 07:21Могу на 100% утверждать, что Яндекс и другие ПС точно не причем. Это косяк криворуких разрабов, которые забывают запрещать хотя бы через robots.txt индексацию таких страниц.
А огромное количество таких доков в индексе лишь подтверждает тот факт, что в России, да и во всем мире, очень мало стоящих разработчиков.Areso
16.07.2018 12:35Пожалуй заступлюсь за разработчиков, но robots.txt настраивают не они. Админы, DevOps, кто угодно, но не разработчики (если разработчик не выполняет все роли в одном лице, ага, как это тоже бывает — но это явно не про Google).
advolit
16.07.2018 15:14Такие фундаментальные вещи, а конкретно какие технические страницы должны быть исключены из индекса, закрыты в noindex, nofollow, или выдаваться только по хэшу для конкретной сессии, ip, юзерагента и тп, чтобы никаким образом они не попали в индекс поисковиков задача конечно же разработчиков. Имхо
synka
16.07.2018 12:40На радикале, в разделе мобильная галерея, среди фоток ребятишек и собак, два года назад, можно было найти фотографии паспортов, или фейса хозяина с паспортом. Я так понимаю, что это юные закладчики подтверждали личность дилерам. Там же можно было найти скриншоты переписок на тему кладоискательства.
pyrk2142
16.07.2018 19:28Есть пара довольно известных фотохостингов, у которых адрес изображения — это что-то вроде site.ru/img[id].jpg, где id — это номер изображения в базе. Фактически, можно получить доступ ко всем изображениям, среди которых есть много чего интересного.
DeXVinogradov
16.07.2018 15:01Только думал начать пользоваться Я.Браузером. Работает то не плохо. Удобный, шустрый, но такие моменты это уже слишком.
Скриншот. Думаю человек бы не сильно был рад узнав, что другие могут посмотреть что он заказывает.
Понимаю, что косяк то больше разработчиков сайта, но Яндекс этим пользуется.
teecat
16.07.2018 17:48-1Что все так привязались к Яндексу? Заходим в Google, вбиваем простейший запрос «filetype:pdf „для служебного пользования“ » и достаточно быстро находим искомое. Подозреваю, что и в остальных браузерах будет все аналогично
saipr
17.07.2018 09:58Павел Медведев обнаружил новую утечку документов граждан РФ на множестве сайтов, в том числе в доменах Сбербанка и других, через поисковые запросы к Яндексу. Яндекс — найдётся всё (и ваши паспорта тоже)!
А то Бургер, Бургер!
grims
17.07.2018 11:31Граждане, что ж это происходит, мало-мальски модернизировав запрос можно такие вещи найти, что дурно ставиться.
Заголовок спойлера
tetetetetetetett
17.07.2018 22:24Мдаа… И заказы с закладками тут…
Куда писать кстати если такое вижу?)
Скриншот и запрещенные штуки
DmitriyDev
Ни они первые, ни они последние.
Интересно, к такому результату приводит нехватка специалистов или желание сэкономить?
Dmitry_Dor
Возможно, что как и в случае со сливом «доступных по ссылке» Google.Docs, это результат «взаимовыгодного обмена» информацией между Яндекс.Браузер и поисковиком Яндекс.
imanushin
А есть доказательства этой темы?
dom1n1k
Слив яндекс-браузером посещенных ссылок уже считается аксиомой) Иначе зачем он им.
imanushin
Ну у меня вот есть nuget пакеты, за которые я ни копейки не получил (см. профиль). Там значит троян сидит 100%?
nidheg666
я тут имел неприятный диалог с техподдержкой яндекса. их софтина яндекс метро мне высадила 20% акамулятора, при условии что я её не запускал с перезагрузки телефона. если вы так свято верите яндексу, то вопрос… что на 20МБ наотсылало яндекс метро?
imanushin
nidheg666, я не отвечу на Ваш вопрос, к сожалению.
Мне изначально не нравится идея dom1n1k: "если продукт бесплатный — значит 100% сливает все пароли к себе на серверы, плюс подкидывает троянов". Хотя не спорю, идея очень проста и понятна.
Однако, почему же подобное додумывание может быть некорректно?
2.1. Анализ скорости работы сайтов, для более корректного ранжирования
2.2. Анализ скорости работы своих сервисов (в том числе — более детальная аналитика)
2.3. Работа на будущее: т.е. сначала создать конкурента для Google Chrome, а потом следить за рынком. По сути это инвестиция в будущее, исследование.
2.4. Сравнение контента web-страницы с тем, что получил Яндекс Бот (чтобы ловить дорвеи и т.д.)
Однако, вполне возможно, что ЯБ и сливает все-все-все ссылки (+контент) со всех web-страниц. Может быть и в фоне подрабатывет Яндекс-Ботом. Почему бы и нет.
P. S> спасибо за аргументированный ответ, кстати
nidheg666
скорее всего с разными сервисами по разному. отмести смело можно только пункт 2.3 ибо яндекс таки на ядре хрома сделан, а следовательно быть полноценным конкурентом ему малость сложно.
в моём случае данные передавало приложение яндекс метро, которое в принципе имеет только возможность пополнения карты и обновляемую карту метро. предполагаю что 20% зарядки высадились на отправку геолокации, что бы приложение гипотетически могло показать мне интервалы ближайших поездов метро.
-имхо, столько энергопотребления за такую фичу это эребор.
— вот яндексу я бы не особо хотел доверять своё текущее местоположение. хотя бы по причини близкого нахождения их серверов к нашим спецслужбам.
Human33
ЯндексБот ходит по ссылкам, по которым ходит пользователь
Dmitry_Dor
Ну например ЯндексБот ходит по ссылкам, по которым ходит пользователь
nikitasius
Ну, это вообще свинство. Хотя яндекс давно скатился-покатился, и мейлру доганяет.
sevikl
а честный бизнесмен усманов разве еще не купил яндекс?
Areso
У честного бизнесмена есть Mail.ru
nikitasius
Да хрен его знает. Яндекс и без усманова косячит. Передача "моего круга" та еще куча говна.
Когда никто ничего никому не сказал, и просто взял и отдал всю базу юзеров.
Вот комментарий в треде и можно далее искать. И пофигу на соглашение, оповещение юзеров и т.д. и т.п.
В один прекрасный момент деловая переписка стала достоянием компании ТМ.
hexum
И это правильно. Бесплатная автоматизированная проверка подсистем аутентификации и авторизации. Ещё бы они услугу авторепорта владельцу сайта за символическую плату предложили — отличный бы сервис вышел.
Noiwex
История Яндекс.Бар + Мегафон никого ничему не научила, видимо.
Vilgelm
Легко проверить: переходите с Яндекс Браузера по какой-нибудь доступной для индексирования ссылке, которую робот не может найти самостоятельно и смотрите что получится.
Google Chrome, возможно, тоже ведет себя подобным образом, т.к. иногда замечал в выдаче гугла те ссылки, которые иначе туда бы не попали.
demimurych
Проверенный и доказанный факт который распространяется как на яндекс так и на гугл. Проверяется очень просто — покупаете новый домен, заводите на нем несколько страниц с длинными не читаемыми названиями, наполните их информацией. Заходите на них с хрома или яндекса браузера. Мониторинге логи. Видите ботов.
khim
Видеть ботов мало — важно ещё увидеть в результатах поиска свою страницу. Хотя бы задав полностью site:
P.S. Впрочем на статическую страничку, которую я сам создал и пару слов руками написал и боты не сподобилась зайти. Или домен должен быть вот обязательно новый, а название — длинными и нечитаемыми, а старый с короткими не подходит?
demimurych
Новый домен, и трудно угадываемые названия созданы для чистоты эксперимента. Старый домен может иметь занижены приоритет на индексацию. То есть страницы будут проиндексированы, но не обязательно сегодня или завтра.
Vilgelm
У Яндекса до сих пор есть апы, которые могут происходить раз в две недели (но обычно чаще). Следовательно до апа ваша ссылка не появится в выдаче если ее только не проиндексирует быстробот.
bro-dev0
Ну домены то все как бы регистрируются, и выдаются регистраторами по запросу, так что этот шаг бесполезен, а вот страница которая по сложному юрл выдается это да странно.
demimurych
Новый домен нужен для того, чтобы исключить ситуацию когда поисковая машина накладывает свои фильтры на этот домен. Например Гугл очень лоялен к новым доменам в плоскости частоты сканирования, и наоборот, на старые, которые ему чем-то не нравятся, может накладывать определенные частотные фильтры — сканировать не чаще раз в неделю месяц и т.д. Аналогичная ситуация и в Яндексе.
Потому, чтобы не думать об этих проблемах, для этого эксперимента рекомендуется покупать новый домен.
mrpsycho
на саб-домен работает?
зы. неактульно. чуть ниже ответ (
DarkByte
Вы это сами проверяли? А пробовали не новый домен, а поддомен нового или старого домена? Просто на новые домены даже мой бот заходит посмотреть, но я ни яндекс и не гугл. А вот поддомены подсовывал и яндекс браузеру и хрому, и тишина, никто не зашёл на огонёк.
demimurych
Как могут распространятся фильтры на домены третьего и выше уровней я не знаю.
На типичные домены второго уровня — проверял и проверял не только я. Гуглите есть хорошие статьи на эту тему.
sni
Не совсем так. Поисковики интересуются новыми доменами — могут при появлении активно сканировать и забросить в выдачу даже по тестовым запросам их на непродолжительное время, чтобы посмотреть как отреагируют пользователи на контент (так называемый бонус новичка), но далее обычно у гугла начинается т.к. песочница, когда он не хочет индексировать и ранжировать новые домены, если там нет какого-то мега уникального контента и всплеска наплыва посетителей.
vikarti
Даже если браузер сливает (а я бы например — не против чтобы сливал, правда с возможностью отключить для сайта/глобально. Пусть помощь в индексации), то это НЕ оправдывает тех кто делает доступными эти документы без авторизации вообще (и наверно не закрыв их robots.txt и тегами в странице для не-индексации).
Sabubu
А я, например, против. Пусть сначала предупредит об этом и даст возможность отказаться.
Закрытие robots.txt никак не поможет от любопытного сотрудника Яндекса, который вручную захочет посмотреть, куда вы ходили.
Tantacula
Если вы против, используйте другой браузер, например tor.
Areso
И всех своих пользователей заставьте его использовать, ага.
Ни разу не встречали документов «доступных только по прямой ссылке»? Это оно самое.
ProgMiner
Такие документы должны быть отмечены, как неиндексируемые.
psman
Это как на двери написать «не входить» на японском и считать что все будут читать, а кое кто даже притворяется слепым.
vikarti
По сути тоже самое — только вы хотите эту опцию — opt-in (и наверно даже предпоставленная галочка устроит?) и явным предупреждением.
Важнее — чтобы она была официально признана (если она конечно есть) и была возможность ее выключить. Или включить.
avost
Чорт, вы в самом деле верите, что сотрудники яндекса сидят и ходят такие по ссылкам стапицот тысяч пользователей?
Ну, и отдельный вопрос — если вы не хотите, чтобы весь интернет имел доступ к вашей странице, на кой вы её в этот интернет выложили?
Sabubu
Тут несколько факторов, ведущих к уязвимости. Конечно, разработчики должны закрывать такие ссылки от индексирования. Но и браузеры не должны тайком без предупреждения пользователя сливать посещаемые ссылки. Одно другого не отменяет.
avost
Стоп, вы же о сотрудниках Яндекса говорили, которые вручную ссылки из логов якобы выковыривают…
И, таки да, здесь несколько уязвимостей и ни одна из них не яндексовая. И главная уязвимость вовсе не в том что не закрыли документ от индексирования, а в том, что не закрыли документ от неавторизованного доступа. СтОит это понять, как всё на свои места становится. А утечка… 90% пользователей вводят ссылку в поле поиска поисковика, а не в адресную строку.
makioro
во всех браузерах на движке хрома это одно и то же поле
Sabubu
Нет, не все так просто. В Яндекс нанимают в основном талантливых специалистов. Они не могли не знать, что некоторые сервисы используют ключи в ссылках для защиты от доступа. И если они понимали это, но все равно разрешили индексацию таких ссылок ради получения большей прибыли, то это значит, что они понимали риск, но решили прикинуться, что они тут не при чем, и что это глупый робот обходит все незащищенные страницы. А это уже можно интерпретировать, как осознанное бездействие, приведшее к раскрытию персональных данных. Я бы хотел написать «преступное бездействие», но не придумал пока, под какую статью это можно подвести.
Areso
ru.wikipedia.org/wiki/%D0%A5%D0%B0%D0%BB%D0%B0%D1%82%D0%BD%D0%BE%D1%81%D1%82%D1%8C (Это преступная халатность, УК РФ ст. 293)
«Халатность, то есть неисполнение или ненадлежащее исполнение должностным лицом своих обязанностей вследствие недобросовестного или небрежного отношения к службе либо обязанностей по должности, если это повлекло причинение крупного ущерба или существенное нарушение прав и законных интересов граждан или организаций либо охраняемых законом интересов общества или государства»
Hardcoin
Если вы против — закройте эти страницы паролем. Если на них критическая информация, они в любом случае не должны быть в открытом доступе — всегда остаётся риск утечки.
DistortNeo
Под ваше утверждение попадают неперсонифицированные ссылки для доступа к файлам из облачного хранилища (google drive, яндекс диск и т.д.).
vikarti
Что мешает прописать прочитать yandex.ru/support/webmaster/controlling-robot/robots-txt.html robots.txt весь каталог верхнего уровня с ними?
Вот пробую с самим же яндекс.диском
ссылка вида yadi.sk/i/7wlg…
в robots.txt вижу в том числе Disallow: /i/
Выбираю «просмотреть» (это word'овский документ) и ссылка открывается на docviewer.yandex.ru/ но там robots.txt из двух строк вообще
User-agent: *
Disallow: /
Так что нет, Яндекс.Диск не подпадает.
Zmiy666
скорее наплевательское отношение к работе, к потребителям и тд, характеризующее конторы типа втб и сбера. Делается все «на отвали» просто по тому, что руководство не волнует, что будет с клиентами, они знают, что какая бы жопа не случилась — рука государства вытащить их из болота. Это не мелкие конторы среди моря конкурентов, когда за каждого клиента идет война и такой косяк может контору похоронить.
immaculate
Ой, ну прям быть мелкой конторой — это серебряная пуля. Решает абсолютно все проблемы.
Если что, в мелких конторах еще больше нехватка разработчиков, и часто качество и безопасность приносится в жертву «business requirements».
Разработчик: «У нас здесь SQL injection в унаследованном коде, который мы купили у компании А»
Менеджер: «Твоя задача на сегодня починить форму Б в модуле С. Это важная задача для бизнеса. Через два месяца мы выкатим новую версию, тогда у тебя будет время, чтобы исправить эту injection и остальные баги».
Но естественно, через два месяца будет какой-то другой аврал, и все баги, дыры, и так далее копятся до бесконечности.
poznawatel
К такому результату приводит отсутствие обязательности покрытия ущерба организацией, упустившей чужую информацию.
olgerdovich
не мусорьте в ноосфере, не путайте «не» и «ни»