В поисковой выдаче «Яндекса» оказались личные данные россиян, среди которых сканы паспортов, билеты на самолеты и поезда, а также банковские платежи. Это обнаружил специалист по оптимизации поисковых систем (SEO) Павел Медведев, опубликовавший результаты простого поиска в Facebook.
«Весь сыр-бор, походу, потому что «Яндекс» почти не умеет индексировать JS/SPA/PWA — поэтому Google может дальше забраться без привлечения сторонних источников ссылок... при этом не попадая в приватные зоны, которые поисковик не должен бы индексировать», — прокомментировал ситуацию SEO-специалист. По его словам, «дыра» в поисковых запросах существует как минимум с 2011 года, но тогда в выдачу попадали в основном данные мелких сайтов.
Согласно заметке Медведева на vc.ru, поисковые системы не могут читать информацию со страниц, которые требуют ввести пароль, однако механизмы многих сайтов для удобства пользователей вместо паролей генерируют длинные случайные адреса, которые невозможно угадать перебором. От взлома подобная система защищает — но адрес в 60 символов все еще хранится на сайте, и при сбое в индексации может попасть в общий доступ через поисковые системы.
Сам Медведев считает, что большая часть вины в утечке данных лежит все же на владельцах и создателях сайтов, которые недостаточно тщательно подошли к разработке. «Большинство современных разработчиков считают, что документ, доступный по длинной уникальной ссылке, надежно защищен и никогда не попадет в индекс... Любая страница, доступная без авторизации, может рано или поздно попасть в индекс», — подчеркнул он.
Впрочем, и разработчики поисковых систем, по мнению SEO-специалиста, также частично ответственны за такие происшествия. Медведев отметил, что рекомендации Google и «Яндекс» по индексации страниц иногда противоречат друг другу и создают ситуации, когда отвечающие требованиям безопасности одной системы сайты позволяют второй индексировать не предназначенные для этого документы и страницы.
Как сообщает «Коммерсантъ FM», представители Сбербанка заявили, что расследуют происшествие и что в поисковик не попали данные, которые могли бы нанести ущерб банку или его клиентам.
Это уже не первая утечка личных данных пользователей в общий доступ мировой Сети — в начале июля в выдаче «Яндекса» оказались документы из Google Docs, обычно доступные только при помощи ссылки, выдаваемой создателем файла. Тогда наибольший резонанс вызвала внутренняя инструкция, якобы циркулировавшая в штабе Тинькофф Банка, запрещавшая наем в сотрудники организации представителей некоторых национальностей и рас, а также сексуальных меньшинств.