#Эксперт по информационной безопасности, #судебная экспертиза

+7 (495) 309-31-25 | tsarev@tsarev.biz

Очень грустно, что СМИ распространяют информацию с искажением. Смотрел Вести 24, так там в бегущей строке целый день появлялся заголовок «Утечкой данных с «Яндекса» и Google займется прокуратура».

Постойте, причем здесь поисковые системы?

Они индексируют только то, что им разрешено.

Неужели кто-то всерьез полагает, что Google в автоматическим режиме взламывает российские сайты по продаже интимных игрушек?

Вина за утечку целиком и полностью лежит на владельцах ресурсов. Вот например, Роскомнадзор подготовил вполне адекватную новость, акцентируя внимание на проблемах интернет-магазинов. Другой вопрос, почему сразу аж 80 ресурсов допустили утечку. Общий баг или что-то другое? Интересная версия есть на сайте Андрея Петухова:

Дано:

  1. Есть сайт А, на котором есть уязвимость SQLi, позволяющая удалить все данные из БД.
  2. Есть форум B, на который мальчик Петя постит ссылку, при переходе по которой отправляется запрос, реализующий SQLi на сайте А и, как следствие, удаляющий там данные.
  3. Есть поисковик С, который радостно индексирует форум B и, переходя по ссылке, наносит ущерб сайту А.

Вопросы:

  1. Виноват ли поисковик в том, что на сайте А пропали данные?
  2. Если не виноват поисковик, то кто же виноват?

Может быть схема такая, может и нет, но в любом случае вопросы мне кажутся странными. Поисковые машины не могут быть виноваты в утечке. Поисковые системы — это роботы, которые ходят по сайтам и смотрят только то, что им разрешили веб-мастера. Эти роботы, успешно работаю во всем мире. Нигде не возникает претензий к поисковым системам, что они переходят по ссылкам «как-то не так». Вина напрямую лежит на мальчике Пете (что-бы он не сделал) и сайте, который, по каким-то причинам, содержит уязвимости.

Вот в чем действительно необходимо разобраться, так это в том, кто такой этот мальчик Петя? Не взрослый ли это дядя, который работает в интересах тех, кому выгодно заявить, что подписанный Президентом закон о персональных данных спасет от подобных утечек?

Беда в том, что существующий закон не защищает граждан, чьи данные оказались в сети. И даже в случае успешного расследования прокуратуры и привлечения Пети к уголовной ответственности (вероятность этого 0,0000…1%), пострадавшие граждане не получат компенсации за безобразия Пети и интернет-магазинов. Ведь закон писали не для них.

Автор статьи: Царев Евгений

15 комментариев

    Учитывая, что вчера представитель РКН заявил, что утечки были допущены потому, что ПО интернет-магазинов не было сертифицировано ФСТЭК, адекватность ставится под сомнение.

    Этого я не слышал, есть ссылка?

    Интересно, а этот человек понимает, что в действительности означает термин «сертификация»?

    dmi:

    так вроде яндекс.метрика сливала в поисковый индекс все то, чего там быть не должно

    Информация о посещаемых сайтах сливается не только через метрику яндекса, почти у каждого пользователя найдется по 2-3 плагина для браузера и несколько сторонних программ на компьютере, которые сливают самую разную информацию на сторонние сервера. То, что через метрику сливаются данные — это псевдооткрытие. Просто люди еще не привыкли, что конфиденциальность в интернете — это миф.

    Михаил:

    Слышал еще такую интересную версию, что искусственно создается образ бесконтрольного и потому опасного Интернета для россиян, что кагбэ само собой должно намекать (в умах граждан) на то что надо бы его контролировать жестко… Т.е. эти уязвимые (кривые) сайты были специально подобраны для вброса в СМИ… всего лишь версия 😉

    Евгений К:

    То, что СМИ утечку данных вменяют в вину компаниям google и yandex в принципе объяснимо. Вероятность того, что статью прочитают, тем выше, чем больше события, описанные в статье касаются самого читателя. Если тема интернет-магазина касается ограниченного числа людей, то google и yandex так или иначе присутствуют в жизни каждого из нас.

    Евгений К:

    Google превзошла Apple по слежке за пользователями:-)
    http://www.iphones.ru/iNotes/159142

    aristidas:

    По моему скромному мнению стандарт robots.txt менять надо, 17 лет назад когда его ввели интернет сильно отличался от теперешнего,и он не отвечает суровым современным реалиям.

    Сейчас нужно шифровать закрытые страницы, вот и все.

    Григорий:

    >Постойте, причем здесь поисковые системы?
    >… это роботы, которые ходят по сайтам и смотрят только то, что им разрешили веб-мастера

    Евгений, а тындекс.бар совсем ни при чем?
    http://devteev.blogspot.com/2011/07/blog-post_20.html
    Не каждый пользователь БАРа разрешил бы передавать инфу своих СМСок или заказа РЖДешных билетов, если б предупредили о последствиях.

    Согласен. Дело не в этом. Просто в настоящий момент на машине среднего пользователя установлено по несколько десятков приложений, которые де-факто являются шпионскими. Эти программы пересылают в сеть большие массивы личных данных. И в сравнении с Гуглом, Facebook и кучей приложений для смартфонов, Яндекс — еще ребенок.

    Григорий:

    И тындекс.метрика
    http://habrahabr.ru/company/webasyst/blog/124968/
    «Я не выдвигаю никаких обвинений, однако, считаю, что Яндексу следует пересмотреть методику добавления новых адресов в общий поисковый индекс и упразднить практику превращения любого посещенного пользователем адреса в публичный, каким бы хитрым методом этот адрес не был зафиксирован. Такая практика как минимум неэтична. И сделать это лучше как можно скорее, пока проблема не приобрела излишне массовый характер.»

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

*

Этот сайт защищен reCAPTCHA и применяются Политика конфиденциальности и Условия обслуживания Google.