🎶 Небезпечний пошук

Пошук в інтернеті дав нам величезне благо – можливість швидко знаходити потрібну інформацію. Якщо на зорі інтернету ми лазили по каталогах, розшукуючи цікаві для нас сайти, запитували поради у більш досвідчених користувачів Інтернету, то тепер достатньо лише сформувати запит у пошуковій системі, чи то Google, чи то Яндекс.

Пошук – це не тільки пошукові системи, ми шукаємо інформацію про людей у соціальних мережах, шукаємо відео на Youtube, довідкову інформацію на сайті Wikipedia.

Усе це дуже зручно і дуже небезпечно. У цій статті я не буду говорити про те, як Google прагне знати про вас усе, збирає і зберігає інформацію про вас, як у пошуку можуть зберегтися ті відомості про вас, які ви бажали б видалити.

Витік SMS-повідомлень

Багато хто з вас користувався можливістю надсилати безплатні SMS із сайту оператора або чув про неї; ця послуга популярна в деяких країнах, наприклад у Росії. Відправляючи повідомлення, ви, ймовірно, не припускаєте, що вони будуть доступні всім охочим. Не припускали цього і користувачі сайту Мегафон, відправляючи безкоштовні онлайн-СМС, поки одного дня не виявили їх у кеші пошукової системи Яндекс. У кеші Яндекса збереглися дати, тексти та номери одержувачів СМС.

Причина проблеми полягала в sitemap сайту оператора Мегафон, де не було заборони на індексацію сторінок з інформацією про відправлене СМС, та інструменті “Яндекс.Метрика”. За задумом, сторінку з СМС знав тільки відправник, перейшовши за унікальним посиланням, він міг побачити інформацію про надіслане СМС і його статус, але в підсумку побачив увесь інтернет, і користувачі мережі не без задоволення цитували й обговорювали найпікантніші СМС.

Витік документів

Популярна в російськомовному сегменті інтернету соціальна мережа “Вконтакте” свого часу додала можливість викладати документи. Дійсно корисна опція, що дала змогу ділитися зі співрозмовниками документами, ось тільки за замовчуванням усі документи завантажувалися з опцією загального доступу і їхні заголовки індексувалися внутрішнім пошуком соціальної мережі.

У результаті в пошуку опинялися фотографії банківських карт, скани паспортів, чим не забарилися скористатися шахраї. За запитом “банківська карта” або “паспорт” вони щодня знаходили нові документи, які потім продавали на чорному ринку або використовували для скоєння злочинів. Справедливості заради, мисливці за чужими даними добряче погоріли, коли про цю проблему стали активно писати.

Хакери зробили документи, що містять шкідливе програмне забезпечення, і викладали їх у соціальній мережі під виглядом документів і банківських карток користувачів. Багатьом мисливцям за документами довелося тоді заплатити солідний викуп за розшифровку своїх даних.

Витік доступу до приватних чатів

Багато хто знає месенджер Telegram, серед іншого він пропонує користувачам функціонал приватних чатів. Ви можете створити приватний чат, і ніхто, крім запрошених туди людей, не матиме до нього доступу. У цих чатах обговорюється особиста інформація, іноді корпоративна, передаються корпоративні дані, якщо і не секретні, то вже точно не призначені для широкого кола осіб. Потрапити туди можна за запрошенням адміністратора або переходом за секретним посиланням, яке знають тільки учасники чату і … пошукова система.

На жаль, посилання на вступ у приватні чати не були захищені від індексування, пошукова система Google просканувала їх, і вони стали доступні необмеженому колу осіб. Проблема вирішилася тільки після того, як незалежний дослідник звернув увагу на це.

Дослідник, який виявив уразливість, розповів, що розробники Telegram не тільки непробачно довго не відповідали йому, а й не визнали серйозність проблеми. Насправді ж, це дуже серйозна проблема для всіх, хто використовує приватні чати для передачі цінної інформації.

Напевно, у вас виникло питання, як ця стаття може допомогти вам стати більш захищеним або підвищить вашу анонімність у мережі. Не поспішайте з висновками, розбір подібних історій – теж частина навчання, важлива її частина.

Знаючи їх, ви зможете припустити, звідки може прийти загроза, оцінити надійність того чи іншого рішення.

Наприклад, викладаючи файл, перевірите, чи не відкритий до нього публічний доступ, надсилаючи СМС із сайту, триматимете в голові можливість його витоку, створюючи в месенджері приватний чат, продумаєте варіанти, за яких треті особи зможуть отримати доступ до інформації, що зберігається в ньому. Завершуючи статтю хочу вам дати ще одну пораду.

Яндекс і документи Google

Мабуть, один із найгучніших скандалів, пов’язаних із пошуковими системами, трапився, коли в пошуковій видачі Яндекса з’явилися документи Google.Docs, до яких було відкрито доступ за посиланням. Як зазвичай відбувається передача документів? Документ завантажується, потім вибирається опція “зробити доступним за посиланням”, потім посилання передається адресату.

Таким чином передавалися корпоративні документи, файли з паролями; московські чиновники передавали документи про підвищення явки на виборах, блогери – фінансові кошториси. Тепер усі ці документи стали надбанням публіки. Найрезонанснішим виявився документ, що належить, імовірно, співробітникам “Тінькофф Банк”, згідно з яким у банк не можна брати на роботу представників негроїдної раси, яскраво виражених представників сексуальних меншин, претендентів, яким треба молитися протягом робочого дня, колишніх працівників правоохоронних органів, ФСБ, колишніх судових приставів, осіб кавказької національності (за винятком вірмен і дагестанців із досвідом роботи в банку), претендентів, які мають неслов’янські ПІБ.

Які висновки варто зробити: Передавати за посиланням можна тільки документи, витік яких не страшний. Якщо Яндекс зміг проіндексувати документи, отже, це теоретично зможе і зловмисник.

Крім того, слід допустити можливість витоку цих документів і вжити заходів: наприклад, якщо там були паролі, – змінити їх. Яндекс і персональні дані користувачів Влітку 2018 року знову трапився скандал, пов’язаний з Яндексом, хоча сам пошуковик тут не винен.

Незалежний дослідник провів вивчення щодо витоку персональних даних у пошукову видачу і виявив, що в мережі можна знайти дані квитків, куплених на сайті РЖД, звернення до департаменту транспорту, включно з повним текстом звернень і копіями доданих документів, та інші персональні дані. У списку компаній, які допустили витоки, опинилися такі гіганти, як Сбербанк і ВТБ. Нижче ви можете ознайомитися з прикладами витоку даних, узятих з авторського матеріалу.

Вина в цьому випадку лежить на компаніях, які не закрили пошуковим системам доступ до персональних даних і взагалі нерідко зберігають призначені для користувача дані у відкритому вигляді. Зрозуміло, відкритим даним раді не тільки пошукові системи, а й зловмисники, для яких крадіжка особистості – вигідний бізнес. Рекомендуємо перевірити, чи не витекли ваші персональні дані в мережу, а також вжити заходів для подальшого запобігання крадіжки особистості.

Додати коментар