Big Open Data

Петр Литвин, специалист по поисковой оптимизации и рекламе в поисковых системах, руководитель агентства "Артиллерия", в своем  Facebook-аккаунте первым, за несколько часов до Mash, опубликовал информацию об уязвимости Google-документов и запустил волну новостей на эту тему. Впоследствии были обнаружены еще несколько дыр.
Поговорили с Петром, что делать и кто виноват

- Недавно прошла новость, что еще персональные данные, в частности, клиентов Сбербанка, ВТБ появились в поисковике Яндекса. Вы, я так понимаю, нашли еще какие-то утечки. Можете рассказать?
- Я сначала проговорю, как все это работает, чтобы вы понимали логику. Суть состоит в том, что поисковая система ищет документы, которые есть в Интернете. Чаще всего об этих документах она узнает из поставленных на эти документы ссылок уже известных страниц. В Яндексе нет корректных дат, поэтому для улучшения качества поиска Яндекс ввел дополнительные источники поиска, например индексацию страниц. Он ищет документы, которые попадают в Яндекс.Метрику, то есть если у вас установлена Яндекс.Метрика, то все документы, которые в нее попали, идут в поиск. Он ищет, запоминает страницы, которые посещают пользователи с Яндекс.Браузером, ссылку на который выдают в Яндекс.Почте, и т.д. В итоге появляется очень много страниц, которые не должны были попадать в индекс. Это прежде всего страницы, доступные по ссылке. Есть такое понятие, как сложная ссылка, она состоит из набора случайных символов, подобрать ее довольно-таки тяжело, и обычно такие ссылки используют для того, чтобы делиться документами, но при этом не заставлять пользователей логиниться. Коммерческие организации часто так делают. Вчера (17.07.2018. –- Прим. ред.) в Facebookмы выложили уязвимость Альфа-Банка. Альфа-Банк держал в открытом доступе полисы клиентов, для того чтобы после оплаты клиент мог этот полис скачать. С одной стороны, для клиента это удобно, что он может, не вводя никаких паролей и логинов, скачивать полис, но, с другой стороны, это привело к тому, что все эти данные утекли в Яндекс и можно было 8000 полисов за 2018 год смотреть, читать и т.д.

- А вы все-таки усматриваете в этой ситуации вину самих компании или все-таки Яндекса?
- Яндекс в принципе не виноват, но Яндексу проще всего закрыть это. Я уже писал это у себя на Facebook, где, собственно, выкладываю все такие истории, начиная со скандала с GoogleDocs, который произошел несколько дней назад, и первоисточником новости как раз был я.
Я, честно говоря, не знал, что многим эта история неизвестна. Еще год назад я выложил якобы закрытые документы на GoogleDocs, которые я нашел по системе построения отчетности по VPI. Можно было найти очень много данных, например отчеты по продажам крупных компаний, в том числе западных, много персональных данных и т.д., то есть люди делают красочные сводные отчеты, для того чтобы пользоваться ими внутри компании, но внутри компании делятся ссылкой, чтобы сотрудники внутри компании не логинились. В итоге по VPIочень много интересных документов утекло и до сих пор утечка доступна.
Потом мы опубликовали поиск по Mind Map, после этого мы пошли дальше и уже коммерческие вещи начали выкладывать. Ведь это вопиющая история - несколько недель продолжается скандал, но никто не закрывает треки. Например, была найдена на одном из сервисов уязвимость "Промсвязьбанка". Можно было скачать все квитанции и данные об ИНН, налогах налогоплательщика и его платежах по этим налогам. Также нашли контактные данные на одном из лотерейных сервисов в открытом доступе, то есть данные о выигравших в лотерею, что чревато мошенничеством. Более того, открыты уязвимости поиска по Google Диску, Яндекс.Диску,Mail.ru, OneDrive. Но там все усложняется тем, что поиск есть, но нет индекса, а в дисках очень сложно искать по ключевым словам, там только по названиям документов можно и то не качественно, поэтому там бесполезная информация наподобие личных фотографий, видео, так что они не представляют серьезную угрозу.

- Но все-таки на ком вина?
- Вина в первую очередь на IT-специалистах компании, которые не понимают принципы работы поисковых машин, возможно, понимают, но относятся "на авось". Достаточно указать определенные директивы. Если вы набиваете название сайта robots.txt, то там указано, какие разделы сайта можно выкладывать в поиск, а какие нет. Это общепринятый стандарт, но IT-специалисты наплевали на этот стандарт.
Также это вина поисковиков. Есть случаи, когда Яндекс индексирует закрытые документы, не обращая внимания на txt-директиву, правда, тогда он хотя бы не ищет по ключевым словам.

- И что же делать?
- В этом случае я порекомендовал бы Яндексу выпустить некую "заплатку". Она заключается в том, что в Яндекс.Метрике нужно разделить документы на условно легальные и условно нелегальные. И если этот документ попадает не по ссылкам, а по индексам, то этот документ надо проанализировать на безопасность: есть ли там ключевые слова, есть ли там зашифрованные ссылки, нет ли там внешних ссылок, и если эти документы однотипные и их много, то Яндекс может сделать искусственный фильтр и не индексировать их.
Хочется отдельно отметить, что вся эта канитель с защитой персональных данных началась с того, что все сайты обязали добавить соглашение об использовании персональных данных.
Но эти персональные данные в огромных количествах лежат в открытую в поисковиках, и удивительно, что Роскомнадзор не высказался по этому поводу, не дал оценку происходящему, не принял какие-то меры к организациям, которые масштабно и безалаберно сливают персональные данные

- Как вы думаете, почему они не комментируют?
- Это их прямая история. И она очень давно известна. Первый слив информации в Яндекс произошел в 2011 или в 2012 году, когда в Яндекс утекли СМС из "МегаФона". Они утекли по точно такому же принципу. Люди с Яндекс.Браузером или Яндекс.Метрикой рискуют, что их данные утекут в сеть. Люди отправляли СМС с сайта "МегаФона", и на странице "МегаФона" была ссылка с СМС, и эта ссылка хранилась долгое время, Яндекс их проиндексировал и слил полностью информацию о номерах телефона отправителя и получателя и текст СМС. И произошло это по той же ошибке.
Ко мне были вопросы, насколько законно то, чем мы занимаемся, - поиск и публикация таких уязвимостей. Но мне кажется, что это секрет Полишинеля и все, кому надо, нашли все персональные данные, все номера карт и т.д. И при желании можно собрать все данные каждого россиянина. Мы показали только 3% утечки. Чтобы найти что-то действительно крупное, нужно скрупулезно изучать 30 страниц поисковой выдачи Яндекса. Для специалиста это 15 минут работы, чтобы найти еще одну уязвимость, равную по уязвимости Альфа-Банку.

- И что же в таком случае делать клиентам Альфа-Банка, Сбербанка?
- Клиентам надо подавать в суд, так как ваши персональные данные засветились, потому что эта история очень серьезная. Это прямое нарушение хранения персональных данных, которое вы с банком условно заключали. Это прямое нарушение 152- или 153-ФЗ "О персональных данных". И пользователь, чьи данные были разглашены, может требовать в суде компенсации морального вреда, если вы докажете, что разглашение данных нанесло вам ущерб. Какой ущерб? Ну просто раскрытие конфиденциальной информации.
Ведь это чревато спамом - все телефоны, которые засветились во вчерашнем скандале с Альфа-Банком, я на 100% уверен, подвергнутся спам-атаке страховщиков по окончании полиса.
И еще один момент - это фишинг; когда очень много персональной информации попадает в руки злоумышленников, то они могут создавать криминальные схемы. Например, по номеру машины определить телефон владельца. И дальше к моменту окончания полиса злоумышленник может позвонить владельцу автомобиля, предложить ему страховку с большой скидкой, дальше злоумышленник, зная его электронную почту, кидает ему ссылку на промо-сайт "АльфаС страхования", и владелец машины оплачивает эту страховку, хотя сайт принадлежит злоумышленникам. И у пользователя не будет сомнения, что это не "АльфаСтрахование". Тем самым злоумышленник может так заработать несколько миллионов, а вина будет на тех, кто позволил этим данным оказаться в Яндексе. Так что в суд!