Скандалы с утечкой личных данных в интернете возникают в последнее время с завидной регулярностью. Не так давно стало известно, что при помощи поисковой выдачи Яндекса можно получить информацию о всевозможных заказах в интернет-магазинах, в том числе и в секс-шопах. В открытый доступ попала полная информация о покупателях, включая содержимое заказа, а также фамилия, имя и почтовый адрес клиента.
Для этого достаточно набрать следующий запрос: inurl:0 inurl:b inurl:1 inurl:c статус заказа. Эта последовательность в действительности достаточно просто расшифровывается: просьба найти страницы, на которых присутствует фраза «статус заказа», а в её адресе должны иметься символы — 0, b, 1 и c. Между прочим, еще в 2020 году, когда в языке запросов Яндекса появился оператор «inurl:» специалисты предупреждали, что его преимущества оценят в первую очередь хакеры, которые смогут подбирать сайты, использующие однотипные движки с известными уязвимостями.
В данном случае пострадали клиенты интернет-магазинов, работающих со скриптом WebAsyst Shop-Script. Разумеется, крайних в этом деле найти невозможно. Владельцы интернет-магазинов катят бочки на Яндекс, обвиняя поисковик в том, что его роботы лезут куда не следует. Яндекс парирует, что просто делает свою работу, как хорошие брокеры форекс, а грех на владельцах ресурсов, не побеспокоившиеся о безопасности информации.
Тень подозрения пала на набор сервисов «Яндекс.Метрика». Как будто все пострадавшие порталы имели у себя эту «змею». Разобраться сложно, однако поисковая система Google, располагающая таким же оператором «inurl:», персональную информацию к выдаче не допускает.
Впрочем, спасение утопающих, как говорится, дело рук самих утопающих. Кстати, и собственное утопление тоже. Во многом люди сами облегчают злоумышленникам задачу. К примеру, в результатах поиска по тому нехорошему запросу была обнаружена страница, позволявшая пользователю проверить состояние своего заказа. Поля с номером заказа и e-mail информацию уже содержали. А для того, чтобы иметь доступ к детальной информации, предлагалось пройти авторизацию, то есть ввести свою фамилию.
Всё вроде бы правильно. Но в поле адреса электронной почты стояло familiya_imya@mail.ru! Разумеется, после ввода этой familiya сайт доверчиво выдал полную информацию о заказе. Тем не менее, и при не слишком очевидных адресах вида «нечто@mail.ru» вычислить фамилию большого труда не составляет, как написать анализ forex опытному трейдеру. Достаточно просто задать в сети поиск по этому адресу или обратиться к соцсети «Мой мир». Для этого надо только в адресе my.mail.ru/mail/******/ заменить ****** на это «нечто» из адреса и с большой долей вероятности вы окажетесь на личной странице владельца. И это не будет взломом, ведь пользователь сам поместил ее для всеобщего обозрения.
Поэтому, выходя в интернет, нужно соблюдать нескольких простых правил для своего же блага:
1. Минимизировать общение в интернете. Для многих, конечно же, это равнозначно совету реже дышать, но и в этом случае возможно сведение опасности к минимуму.
2. Ограничить объем персональной информации, находящейся в открытом доступе. Лучше использовать ники и псевдонимы, которые с реальным именем не ассоциируются. Особенно важно научить к этому детей.
3. Использовать несколько адресов электронной почты: один — для частной и деловой переписки, другой — открытый адрес для интернет-магазинов, форумов, и так далее. Открытый адрес должен информировать о владельце по минимуму.
4. Для различных сервисов и учетных записей использовать разные пароли. Если запоминание массы паролей затруднительно, то можно воспользоваться простым мнемоническим правилом. К примеру, таким: паролем является слово «лопата», потом первые три-четыре буквы адреса ресурса и цифра, обозначающая длину названия сайта.
Разумеется, все это должно быть не заменой, а дополнением применения антивирусных программ, файерволов и других средств технической защиты, которые бессильны, если пользователь сам публикует в сети личные данные.
9 августа, 2022 
zusicks438 
Рубрика Сводки с SEO-фронта :) 
