Напомним, что 18 июля 2011 года в «Яндекс» попали SMS «Мегафона», отправленные с сайта оператора. В Google при этом были видны только номера абонентов, но не сами сообщения. Чуть позже обнаружилась подобная утечке для сайта Sms.prm.ru — стороннего сервиса для отправки сообщений абонентам МТС. Спустя неделю, 25 июля, новый «рассекреченный» запрос выдал подробные персональные данные покупателей интернет-магазинов (в том числе секс-шопов). На следующий день в «Яндексе» появилась информация о железнодорожных билетах, опять же с персональными данными пассажиров. И вот, вечером 26 июля стал известен поисковый запрос в Google, показывающий документы с сайта Gov.ru под грифами «для служебного пользования» и даже «секретно». Эти же документы по похожему запросу можно получить и в «Яндексе».
Насколько удалось выяснить «БО», утечка данных в поисковые системы происходит из-за того, что они хранятся на страницах, не защищенных логином и паролем, а также не заблокированы соответствующими правилами в служебном файле robots.txt. В случае с «Мегафоном» индексация и кэширование страниц «Яндексом» ускорялась за счет использования сайтом счетчика «Яндекс.Метрика», который сообщает поисковому роботу пути к страницам, обычно ему неизвестные. По некоторым данным, помогло «пауку» и наличие у некоторых пользователей надстройки к обозревателю «Яндекс.Бар» — она выполняет похожие функции в части передачи ссылок, но со стороны клиента.
«БО» провело опрос пострадавших клиентов интернет-магазинов о наличии у них установленного «Яндекс.Бара». Утвердительно ответили только двое из шести откликнувшихся. Таким образом, наличие данной надстройки совсем необязательный фактор, хотя не исключено, что он может помочь «Яндексу». Подобные инструменты, кстати, есть и у Google.
Пресс-служба Google на вопрос «БО» о причинах попадания закрытых правительственных документов в поисковик и возможности их удаления ответила следующим образом: «Поисковые системы индексируют только открытые страницы интернета, если владелец сайта хочет скрыть от поисковика какие-то страницы или сайт целиком, то это очень просто сделать, поставив специальный файл-замок на страницы, содержащие конфиденциальную информацию. Это можно сделать в любой момент, и когда робот поисковой системы в следующий раз будет обходить интернет, он уже не может зайти на эти страницы, проиндексировать их, чтобы потом выдавать в результатах поиска».
«Яндекс» также указывает похожие причины, и 25 июля опубликовал даже рекомендации, как избежать подобных инцидентов.
История с онлайн-магазинами доказывает версию «Яндекса» о низкой квалификации персонала, забывающего описать правила доступа поисковика к страницам сайта в файле robots.txt. Небольшие онлайн-магазины создают сайты с минимальными затратами. Как говорят специалисты, большинство из тех, что были проиндексированы поисковиками (в том числе и Google), созданы на базе «движка» WebAsyst Shop-Script.
Обзвон «БО» «провинившихся» магазинов показал, что в них, как правило, даже не знают имени веб-мастера. «Файл robots.txt у нас вроде бы есть, но он, кажется, неправильно сконфигурирован», — таким был наиболее полный ответ, который удалось получить «БО» у руководителя одного из онлайн-магазинов интимных товаров.
Казалось бы, все вопросы к поисковым системам сняты, однако, как ранее отмечал «МегаФон», «особую озабоченность вызывает тот факт, что в данной ситуации компания «Яндекс» не только использовала данные о содержании SMS, но и позволила им попасть в поисковые запросы, что сделало их публичными. При этом действующее законодательство не дает поисковым системам право собирать, хранить и распространять подобную информацию без предварительного письменного согласия пользователей».
В этой связи интересно выглядит политика конфиденциальности «Яндекса»:
«В рамках настоящей Политики под «персональной информацией пользователя» понимаются:
<…>
Данные, которые автоматически передаются Сервисам Яндекса в процессе их использования с помощью установленного на устройстве пользователя программного обеспечения, в том числе <...> адрес запрашиваемой страницы».
<…>
Яндекс принимает необходимые и достаточные организационные и технические меры для защиты персональной информации пользователя от <...> случайного доступа».
Cайт Prm.ru выпустил пресс-релиз, в котором, в частности, сообщалось: «Возможность передать в строке адреса номер адресата и текст будущей SMS, является дополнительным сервисом, используемым нашим виджетом отправки SMS, размещаемом на главной странице Яндекс, —Пользователь Яндекс может набрать телефон и текст сообщения внутри виджета, размещаемого на главной странице Яндекс, а затем для завершения отправки — перейти на Sms.prm.ru. В процессе взаимодействия виджета на главной странице Яндекс и сервиса Sms.prm.ru происходит информационный обмен, который не является открытой информацией и не предназначен для перехвата, сохранения, индексации и публикации поисковыми системами».
Вопрос, правомерны ли индексация и хранение в кэше страниц, которые иначе были бы недоступны, еще предстоит выяснить. Пока же поисковые системы руководствуются принципом «что не запрещено, то разрешено».

Кому это выгодно

За технической стороной вопроса несколько теряется другой: кому это выгодно? Кто изначально решил задать поисковой системе «слишком умный» вопрос? Одна из версий — это нужно для лоббирования закона «О персональных данных».
По другой версии, произошел просто «каскад» нападок конкурентов и ответов на них, как среди телеком-операторов, так и среди самих поисковых систем.
По фактам утечек инициирован ряд расследований разными органами. Вот что сообщили «БО» в Роскомнадзоре: «20 июля Управлением Роскомнадзора по Москве и Московской области составлен Протокол об административном правонарушении в отношении ОАО «Мегафон» в связи с появлением в открытом доступе в сети Интернет текстов SMS-сообщений абонентов данного оператора. Протокол направлен в Арбитражный суд г. Москвы для рассмотрения дела об административном правонарушении и принятии мер в соответствии с Кодексом Российской Федерации об административных правонарушениях. Вместе с тем, Роскомнадзором в ОАО «Мегафон» и ООО «Яндекс» направлены официальные запросы».
По слухам, идет расследование и по выявлению инициаторов «поискового бума». После утечки секретных данных с сайта gov.ru дело приобретает гораздо более серьезный оборот, и скоро, возможно, мы узнаем много нового.

Что грозит банкам

Банки изначально гораздо лучше защищены от подобного рода инцидентов. Как сообщили «БО» в R-Style Softlab, системы ДБО построены по совершенно другому принципу, и безопасногсть в них гораздо выше. То же самое сказали и руководители служб информационной безопасности банков.
Однако то, что это понятно профессионалам, может быть совершенно не очевидно для их клиентов. Вряд ли многие понимает даже разницу между протоколами http и https, а исследования показали, что большинство из них не задумываются о безопасности интернет-платежей. В то же время поднявшийся «шум» может спровоцировать кризис доверия не только среди покупателей интернет-магазинов (что очевидно), но и сказаться на всей индустрии онлайн-сервисов, в том числе интернет-банкинга. И если банки не хотят потерять и без того небольшую долю интернет-платежей, им, скорее всего, стоит объяснить клиентам разницу между системами безопасности онлайн-магазина и интернет-банка.