• Цього літа відбулося відразу кілька гучних витоків особистих даних інтернет-користувачів через пошукові системи. Пошуковики і власники сайтів звинувачують в цьому один одного. А фахівці з безпеки радять просто рідше публікувати в інтернеті дані
    В середині липня 2011 р. з'ясувалося, що «Яндекс» проіндексував і показав в результатах пошуку близько 3000 sms-повідомлень, відправлених абонентам «Мегафону» зі спеціального сайту цього оператора. Спочатку це виявив один з користувачів Facebook, за лічені хвилини інформація поширилася по всьому рунету.
    Хоча sms-повідомлення були анонімними й зникли з пошуку протягом декількох годин, скандал вибухнув великий. Тим більше, що майже відразу допитливі користувачі виявили в «Яндексі», Google і Bing ще й докладні дані про замовлення покупців більше 80 російських інтернет-магазинів. Потім - закриті документи держорганів, особисті дані користувачів систем продажу залізничних квитків і багато чого ще.
    Знайти персональні дані в пошуковиках виявилося не складно - для цього використовувався мова пошукових запитів, докладно описаний на сайтах пошукачів. Наприклад, щоб виявити статуси замовлень на сайтах інтернет-магазинів, достатньо було ввести в пошуковий рядок запит типу «inurl:ukey=order_status IP покупця», а sms-повідомлення абонентів «Мегафону» знайшлися по запросу «url:www.sendsms.megafon.ru*+|+url:sendsms.megafon.ru*».
    Хто винен?
    Зазвичай причина таких витоків - недбалість людей, які відповідають за роботу сайту компанії-жертви, говорить аналітик розробника систем інформбезпеці SearchInform Роман Ідов. Пошукова система - це робот, який працює по заданому алгоритмом: він не відрізняє конфіденційну інформацію від загальнодоступною, а просто індексує все, що знаходиться у відкритому доступі, пояснює він.br/>Думку аналітика збігається з позицією пошукачів. Після першої ж історії з витоком sms представник «Яндекса» звинуватив в проблемі адміністраторів сайту «Мегафону», які захистили дані абонентів спеціальним файлом robots.txt. У цьому файлі зазвичай вказуються посилання на сторінки, які заборонено індексувати пошуковим системам. З тих же причин пошуковикам стали доступні і дані відвідувачів онлайн-магазинів, стверджували представники «Яндекса», Google і Microsoft (володіє пошуковик Bing). «Яндекс» навіть випустив спеціальну інструкцію для веб-майстрів, як краще захистити сайт від пошукового робота. А Google додатково рекомендувала користувачам і власникам сайтів не поспішати розміщувати в мережі конфіденційну інформацію. Якщо ж витік все-таки відбувся і на якомусь сайті з'явилися особисті дані людини, Google пропонує повідомляти їй про це безпосередньо через спеціальну форму на сайті.
    Липневими витоками даних через пошуковики зацікавилися і держструктури. Правоохоронні органи пообіцяли провести перевірки, а Роскомнагляд попросив пошуковики знайти можливість блокувати запити, у відповідь на що розкриваються персональні дані людей. «Опрацювати таку можливість» пообіцяла одна Microsoft.
    Боротьба з посиланнями
    Microsoft і справді вирішила проблему витоку персональних даних, стверджує її представник Олександра Паришева: в результатах пошуку Bing були заблоковані ті сторінки сайтів, на яких ці дані з'явилися. Це було зроблено за шаблоном, показаному в пошукових результатах, уточнює вона. У цьому переконався кореспондент «Відомостей»: з популярним запитам в результатах пошуку Bing з'являються лише статті на тему витоку даних.
    «Яндекс» і Google за тим же запитам видають набагато більше інформації, у тому числі і посилання на замовлення користувачів в магазинах, які їх містять персональні дані. Але навіть неозброєним поглядом видно, що таких посилань стало набагато менше, ніж у розпал скандалу. Можливо, власники багатьох інтернет-магазинів взяли захисні заходи.
    «Яндекс» отримав від власників численних сайтів прохання видалити з результатів пошуку особисті дані з цих сайтів, розповідає представник пошуковика Очира Манджіков. Після цього він прискорив процес синхронізації індексу з реальним змістом інтернету. Якщо власник сторінки додав її адресу через спеціальну форму в сервісі «Яндекс.Вебмастер», автоматичний процес видалення цієї адреси з пошуку займає значно менше часу, ніж раніше, - аж до декількох хвилин.
    Захист від пошукача
    У багатьох магазинів, клієнти яких виявилися засвічені в пошукових системах, було щось спільне: на їх сайтах був встановлений код сервісу статистики «Яндекс.Метрика», помітили співробітники компанії Shop-Script, що розробляє ПО для інтернет-магазинів. Встановлено цей код був і на сайті «Мегафону» для відправки есемесок. Зазвичай пошуковики індексують сторінки за посиланнями, розташованим на сайтах. «Яндекс» ж, за даними Shop-Script, проіндексував у тому числі ті сторінки, на які можна було перейти тільки за прямими посиланнями з електронної пошти.
    Shop-Script запропонував інтернет-магазинів ввести авторизацію користувачів по прізвища. А «Яндекс» зовсім заборонив роботам індексувати сторінки, які стали відомі «Яндекс.Метрике» в обхід традиційної схеми посилань на сайтах. Але це не означає, що пошуковик ніколи не дізнається про тій чи іншій сторінці, запевняє Манджіков: інформація може потрапити у відкритий доступ багатьма способами, а чітких і абсолютно точних критеріїв автоматичного визначення її змісту та розмежування даних на відкриті та закриті немає.
    Штраф за відкритість
    Питання про винних у витоках через пошуковики завжди вирішується виходячи з ситуації: є випадки кричущого порушення логіки роботи сайтів з пошуковими системами, але іноді і пошукові системи пхають ніс, куди не варто, каже експерт «Лабораторії Касперського» Сергій Голованов. Арбітражний суд Москви визнав винним у витоку sms-листування абонентів «Мегафон» - правда, оператор відбувся символічним штрафом у 30 000 руб. Після інциденту «Мегафон» встановив кілька додаткових рівнів захисту сервісу від пошукових систем, сказав представник оператора Петро Лідов.