Забудьте про гуглдоки! «Яндекс» находит всё: квитанции, паспортные данные, купленные авиабилеты

Оказывается, «Яндекс» ищет не только публичные гуглдоки, но и более приватную информацию в сети.

Например, данные о банковских счетах, купленные билеты на самолет или поезд, закрытые заказы в интернет-магазинах.

На это обратил внимание сео-специалист Павел Медведев, а потом объяснил для VC, что вообще происходит. А происходит нарушение закона 152 ФЗ (закон «о персональных данных»).

Просто введите примерно такой запрос.

Пожалуйста:

Раз.

Два.

Три.

Четыре.

Пять.

Шесть.

Семь.

Что происходит? По словам Медведева, многие компании (от крупных, ВТБ и «Сбербанка», до мелких, типа интернет-магазина «Рыболовные снасти у Васи Пупкина») вместо паролей (которые пользователи забывают) придумывают сложные URL-адреса со ссылкой на приватную информацию.

Например, сайт.ру/проверить-статус-моего-заказа/orjY4mGPRjk5boDnW0uvlrrd71vZw9kphf8eGb.

Подобрать такую ссылку почти невозможно, но из-за отсутствия паролей (или даже robots.txt) поисковик индексирует информацию. И это не его вина, как и в истории с гуглдоками.

Что может сделать злоумышленник?

Во-первых, получить личную информацию о клиенте (имена, адреса, паспортные данные, возраст и т.п.). Во-вторых, в некоторых случаях можно даже менять информацию без пароля. Например, подкорректировать личные данные и вместо условного Васи Пупкина улететь на его самолете или забрать его покупку в интернет-магазине.

В-третьих, скомпрометировать пользователя (обладая массивом приватных данных).