Специалисты выявили новую уязвимость на сайтах крупных российских компаний, включая банки и авиаперевозчиков. При помощи поисковых систем злоумышленник может находить личные данные клиентов этих компаний, доступ к которым открыт по веб-ссылке. Например, таким образом третьим лицам может оказаться доступной информация о забронированных вами авиабилетах. Причем у обычного пользователя в этой ситуации почти нет инструментов для защиты данных. Основная версия произошедшего: ошибка разработчиков сайта, не задумавшихся о том, чтобы запретить индексацию приватных документов для поисковиков. Объясняет Артем Козлюк, руководитель правозащитного проекта «Роскомсвобода».
— После новостей об утечке данных ВТБ, Сбербанка и департамента транспорта Москвы в поисковой системе «Яндекс» Сбербанк заявил, что никакой угрозы для их клиентов в этой утечке нет, все их данные надежно защищены. Насколько можно верить этому утверждению?
— Надо смотреть, какие документы таким образом можно найти, только так можно оценить ущерб. Если там содержатся какие-то персональные данные граждан по их платежам с перечислением, например, их ФИО или каких-то контактных данных, реквизитов, это уже является персональными данными. Если такие данные есть, то, безусловно, это может принести ущерб гражданам, так как получается, что их информация находится в свободном доступе, и к ней имеет доступ неограниченный круг лиц.
Как эти третьи лица могут воспользоваться этой информацией — это отдельный вопрос. Конечно, злоумышленники и мошенники могут применить эти данные для каких-то неправомерных действий.
— «Яндекс» перенес ответственность за доступ к персональным данным на владельцев сайтов, которые не заблокировали индексацию поисковых систем. О том же говорит Павел Медведев, специалист по оптимизации сайтов, сообщивший об утечке. Кого можно винить в этой ситуации?
— Каждый друг на друга скидывает вину. О самой проблеме известно уже достаточно давно. С одной стороны, можно сказать, что мастер, который делает сайты, следит за их функционированием, мог бы внести соответствующие изменения в сайт, которые бы запретили роботам поисковой системы обрабатывать эту информацию. Но с другой стороны, сами поисковики тоже могли бы применять определенные функции, чтобы не допустить такого глубокого поискового анализа по всем директориям сайтов. В первую очередь вина, конечно, на администраторах сайта, которые должны более внимательно следить, чтобы поисковые роботы не обрабатывали такие конфиденциальные документы.
— Подобная утечка данных происходит не впервые. Ранее, например, были сообщения о доступе к персональным данным клиентов мелких компаний. Получается, это не разовые случаи, а утечки происходят постоянно?
— Это даже утечками назвать нельзя, это просто технологическая возможность. Есть такие инструменты, с помощью которых можно найти что-то в открытом вебе. Если ваши локальные сети или непубличные разделы сайтов засветились в вебе, то все это может попасть в общий доступ. Не только с помощью поисковых сетей, но и злоумышленники и другие личности могут получить доступ к этой информации, если вы плохо ее защищаете. То есть мы подходим к тому, чтобы компании более внимательно относились к защите персональных данных своих клиентов.
Это сверхактуальный вопрос в наше время, потому что наши данные — это новое золото, и за ними охотятся все — и кибермошенники, и различные IT-корпорации, которые могут собирать эти данные для разных целей — в том числе для рекламы, ну и государство заинтересовано в максимальном сборе любой имеющейся информации о своих гражданах. Чтобы защитить персональные данные, надо прикладывать больше усилий именно со стороны компаний, которые их обрабатывают.
— Как обычный человек, совершающий покупки в интернете, может оградить себя от риска утечки его персональных данных?
— Не использовать электронные покупки. Мы меняем свою информацию на удобные нам услуги сервиса. Заказывая «Яндекс-такси», например, мы делимся с этим сервисом данными о наших банковских картах, о наших телефонах, о наших ФИО, о нашем местоположении, о месте жительства и работы, чтобы нам было удобнее заказывать такси. Бронируя авиабилеты либо жилье, мы также делимся огромным количеством персонально-личной информации.
Каждый должен решить для себя, готов ли он жертвовать своей информацией для сервисов, чтобы получить удобство, качественно новый уровень жизни. При этом сами компании не должны позволять себе передавать эти данные третьим лицам в каких бы то ни было целях. Если потом эти данные всплывают, мы можем идти в суд и пытаться добиться там справедливого решения вопроса о том, что та или иная компания допустила возможность передачи в общий доступ вашей конфиденциальной информации.
Беседовала Лилит Саркисян
Спасибо, теперь на почту вам будут приходить письма лично от редакторов «Новой»