Сегодня обнаружилось, что в выдаче Яндекса доступны статусы заказов из различных интернет-магазинов, включая секс-шопы. В публичном доступе оказались имена, фамилии и контактная информация клиентов.
При наборе в поисковой строке «inurl:0 inurl:b inurl:1 inurl:c статус заказа секс» поисковик выдает несколько страниц ссылок на информацию о заказах в различных магазинах интим-товаров. Помимо статуса заказов по ссылкам можно увидеть ФИО клиента, его адрес и контактные данные, IP-адрес, наименование покупки, дату и время заказа.
По сравнению с этим слив в сеть 8 тысяч SMS-ок абонентов МегаФона, просто цветочки.
Напомним, что на прошлой неделе случился скандал по поводу того, что некоторые частные SMS-сообщения, отправленные абонентами сотового оператора МегаФон с сайта компании, попали в поисковую выдачу Яндекса.
МегаФон «прояснил» ситуацию, сообщив, что в процессе взаимодействия сайта оператора и интернет-сервисов Яндекса произошел технический сбой, в результате которого в поисковую базу Яндекса и попало некоторое количество сообщений клиентов. На что Яндекс официально заявил, что страницы с SMS с сайта МегаФона были публично доступны не только Яндексу, но и всем поисковым системам. И виной всему стала ошибка администратора раздела отправки SMS, который по какой-то причине не запретил его индексацию в специальном файле robots.txt.
Пресс-секретарь Яндекса Очир Манджиков, комментируя произошедшее сегодня изданию СNews, порекомендовал администраторам сайтов «внимательно изучать информацию о файле robots.txt и его корректном использовании».
Очевидно, в связи со всеми этими событиями, статистика сайта robotstxt.org.ru, с которым так настойчиво рекомендует всем ознакомиться Яндекс, резко взлетела вверх. Своими наблюдениями об этом поделился владелец сайта atabekovd.ya.ru:
На форуме Searchengines.ru оптимизаторы пошутили, посмеялись, а потом сошлись во мнении, что народ «попадает из-за голотяпства админов и программеров», и вообще никакая это не новость, и всегда было, просто сейчас тренд про это разговаривать, вот все и ищут, чтобы только найти.
P.S. На момент опубликования статьи на форуме, всё действительно работает. Я лично читал информацию о клиентах: дата заказа, товар, цена, адрес, Ф.И.О. покупателя и тд. _________________
Зато какое развлечение по поиску знакомых имен появилось у людей =) _________________ Сайт по вселенной Варкрафта. Скачайте книги Warcraft, а так же комиксы и мангу.
lazutov,
а что вы хотите от современных программистов если сейчас
большую популярность имеют разного рода "видеоуроки PHP за 10 дней".
Где рассказывают "на пальцах" как что-то записать в MySQL, прочитать,
как выдернуть ссылки из строки готовой регуляркой, и.т.п. А потом говорят - скопируйте этот кусочек сюда, тот сюда вот тут поставьте скобочки. И готово. _________________ Пригласительные коды
О чём Вы говорите? Какие мастера? Это всё было сделано в одной компании blog.webasyst.ru/shop-script-private-data-indexed-problem-summer-2011/ _________________
Ну сами вебмастера могли бы нормально роботс.тхт заюзать или правильно выставить права доступа. Так что их вины тоже никто не отменял _________________ Сайт по вселенной Варкрафта. Скачайте книги Warcraft, а так же комиксы и мангу.
Ну сами вебмастера могли бы нормально роботс.тхт заюзать или правильно выставить права доступа. Так что их вины тоже никто не отменял
Логично. Только мне кажется, они скрипт купили, установили и забили на него (Хорошо если сами устанавливали. А то наняли кого-нибудь установить). Продажи идут и ладно. Ведь даже сейчас от утечки инфы пострадали покупатели, а не магазины. _________________
Ну сами вебмастера могли бы нормально роботс.тхт заюзать или правильно выставить права доступа. Так что их вины тоже никто не отменял
Логично. Только мне кажется, они скрипт купили, установили и забили на него
Я про то и говорю что виноваты больше вебмастера, чем разработчики. Я на сколько понимаю, все утекшие данные были с одного скрипта магазина, а подобные уязвимости - далеко не редкость. Раздули тоже шумиху. _________________ Сайт по вселенной Варкрафта. Скачайте книги Warcraft, а так же комиксы и мангу.
Возможно. Только в этот раз утекли емайлы, домашние адреса, телефоны и т.д. Я уже на одном форуме видел пользователей, которые пишут письма покупателям с вопросами типа, а зачем тебе мужские стринги?
А Вы представьте, что там домашние адреса. Кто-то возможно узнал о секс.наклонностях соседа, коллеги и т.д. ?
В сущности, для нормального человека, что он купил вибратор жене или что-то подобное - это несколько дней стыда и всё. А вот если палятся адреса педиков и прочей швани, то тут уже может и криминалом закончиться. _________________
Я поставил на сервисе с закрытой частью яндекс-метрику.
Походил по ссылкам, которые никто видеть не может(видны только с авторизацией), вот почитал логи. Вот вижу как яндекс долбится в эти странички(и получает редирект на авторизацию), не смотря на Disallow в robots.
Адекватный механизм ограничения доступа к страничкам вида /page?accesscode=randstring без извращений типа одноразовости рандстринга и проверок по IP?
Ну кроме как убрать метрику с этих страниц.
FAQ
Поиск
Пользователи
Группы
Регистрация
Профиль
Войти и проверить личные сообщения
Вход
