Перейти к содержанию

Recommended Posts

Сергей Ильин
а что, в отношении секс-шопов есть другая версия произошедшего ?

Естественно - уязвимость сервиса WebAsyst Shop-Script, которая ИМХО является первопричиной утечки, мы об этом сразу в новости написали http://www.anti-malware.ru/news/2011-07-25/4373

Даже разрабы признали ответсвенность за инцидент, правда частично:

http://www.itar-tass.com/c95/192790.html

Компания WebAsyst, разрабатывающая программные решения для электронной коммерции, в ближайшие дни выпустит обновление, которое позволит предотвратить попадание личных данных покупателей в поисковые системы. Об этом сообщается в блоге компании. Там признали, что интернет-магазины, с сайтов которых в понедельник произошла утечка, работали на программной платформе именно этой компании.

"Мы понимаем, что часть ответственности лежит на разработчиках приложения "Shop-Script", и стараемся реагировать на проблему максимально оперативно, - отмечают представители компании в блоге. - Мы готовы оказывать всяческую оперативную техническую помощь всем пострадавшим интернет-магазинам, работающим на основе "Shop-Script" и в ближайшие дни выпустим дополнительное обновление, которое полностью и более основательно устранит описанную проблему".

Пока же разработчики предлагают интернет-магазинам следующие варианты предотвращения подобных утечек. Во-первых, рекомендуется ввести дополнительную усиленную авторизацию пользователей на просмотр информации о заказе, для этого необходимо обновить приложение до последней версии. После этого у пользователя дополнительно будет запрашиваться фамилия, и только затем он сможет ознакомиться с информацией о своем заказе. Кроме того, разработчики советуют администраторам сайтов проверить наличие файла "robots.txt", который отвечает за ограничение индексирования информации поисковиками. "Добавление таких правил позволит исключить страницы из будущей индексации магазина поисковиками, - отмечают в компании. - Перечисленные меры полностью закроют доступ к проиндексированной информации с сайтов, однако не уберут данную информацию из кэша поисковиков". В компании добавили, что уже обратились в "Яндекс" с просьбой посодействовать решению проблемы.

Примечательно, что в интернет-магазинах, работающих на основе решения WebAsyst, пользователи могут оформлять покупку без обязательной регистрации в магазине, то есть без создания аккаунта с паролем. Как объяснили разработчики, после оформления заказа пользователю отправляется прямая ссылка на страницу с информацией о заказе и его статусе. "Эта ссылка отправляется покупателю на почтовый ящик, после перехода по ссылке пользователю показывается страница с информацией о совершенному заказе, и именно такие страницы и проиндексировал "Яндекс", - пояснили в компании.

А в блоге они винят Метрики Яндекса, но признают свою ответственность:

http://blog.webasyst.ru/shop-script-privat...em-summer-2011/

Ситуация сложилась неоднозначная. С одной стороны мы, разработчики Shop-Script, не предусмотрели того, что приватный адрес может быть проиндексирован поисковиком «сам по себе», считая, что раз адрес отправляется клиенту индивидуально, то в открытых источниках он не будет опубликован и, следовательно, не будет проиндексирован. С другой стороны, поведение сервиса Яндекс.Метрики — добавлять адрес любой посещенной пользователем страницы сайта сразу в основной индекс — мягко говоря, спорно.

Проблема не в отсутствии файла robots.txt (в недавнем случае с Мегафоном именно это было названо основной технической проблемой), а в отправке пользователям по электронной почте ссылок, ведущих на страницы, содержащие их частную информацию. Например, ссылок на подтверждение регистрации — наиболее распространенный случай. Когда такие ссылки сопровождаются авторизацией пользователя по паролю, проблем не возникает, потому что сначала пользователю необходимо все же войти в аккаунт и уже потом видеть свою информацию. В нашем случае страница показывалась сразу, потому что пароля у пользователя не было — ведь заказ оформлялся без регистрации. Наличие robots.txt и каких бы то ни было инструкцией в нем в данном случае не является решением, так как в ссылке может перейти бот не только поисковика, но и любой другой.

На самом деле молодцы парни, очень все грамотно написали и не стали изворачиваться и отрицать ответственность!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

Людям от этого не легче...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

И вот еще очень интересный пост на Хабре - ответка разработчиков Webasyst Shop-Script, в которой они указывают на Метрику Яндекса, как объединяющий параметр для всех пострадавших сайтов-пользователей их сервиса

http://habrahabr.ru/company/webasyst/blog/124968/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
UIT
уязвимость сервиса WebAsyst Shop-Script

В ситуации с билетами тоже?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
В ситуации с билетами тоже?

Там не использовался WebAsyst Shop-Script, но уязвимость была аналогичная, что и послужило причиной утечки, а не отсутствие robots.txt, который кстати и не принимался в одном случае к исполнению как оказалось (см. http://www.anti-malware.ru/forum/index.php...t&p=135422)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

UIT, а детали есть? Надо раскручивать тему ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

Комментарии Tutu.ru по поводу сообщений СМИ от 26.07.2011 об утечке неполных персональных данных

Как сообщил ряд СМИ, в Яндексе были обнаружены личные данные покупателей железнодорожных билетов сайта Tutu.ru. Вместе с тем, эти данные не соответствуют действительности.

Администрация сайта приносит извинения всем пользователям, прочитавшим эти сообщения, и со всей ответственностью заявляет, что ни один байт конфиденциальной информации, связанный с приобретением и бронированием билетов РЖД на сайте TUTU.RU, не просочился в открытый доступ.

Сервис бронирования и покупки железнодорожных билетов — стратегическое направление нашего развития. Возможность утечки конфиденциальной информации была обнаружена техническими службами сайта за несколько недель до разразившегося скандала. В результате, к 20 июля 2011 года данный раздел был полностью защищен.

Однако, к сожалению, мы не успели полностью закончить работы по усилению зашиты персональных данных на всех разделах нашего сайта. В поисковую систему Яндекс попали обрывочные паспортные данные 50 клиентов раздела Авиабилеты. В другие поисковые системы (Google.ru, Mail.ru и т.п.) персональные данные с Tutu.ru не попали. При этом, сайтом TUTU.RU ежемесячно пользуется больше 5 000 000 человек.

Данные о 50 заказах, на которые ссылаются СМИ, включают:

1. имя и фамилию без отчества,

2. номер паспорта без дополнительной информации и дата рождения.

При этом информация о маршруте, датах поездки, номере рейса, количестве пассажиров и т.п. в поисковую выдачу Яндекса не попали. В настоящий момент в компании проходит служебная проверка. По предварительной информации, данные были взяты с помощью Яндекс.Бара с временных защищенных страниц сайта. Все эти страницы были защищены в соответствии с законодательство РФ и существовали не более 30 минут, после чего немедленно уничтожались.

Данные о заказах, даты рождения пассажиров и прочая информация были защищены дополнительными протоколами, в полном соответствии с принятым Госдумой РФ 5 июля 2011 года законом о защите персональных данных, и не попали в память поисковых систем.

Компания TUTU.RU приносит свои глубочайшие извинения всем клиентам, которых затронула эта утечка.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ntoskrnl
Комментарии Tutu.ru по поводу сообщений СМИ от 26.07.2011 об утечке неполных персональных данных

......................

При этом информация о маршруте, датах поездки, номере рейса, количестве пассажиров и т.п. в поисковую выдачу Яндекса не попали. В настоящий момент в компании проходит служебная проверка. По предварительной информации, данные были взяты с помощью Яндекс.Бара с временных защищенных страниц сайта. Все эти страницы были защищены в соответствии с законодательство РФ и существовали не более 30 минут, после чего немедленно уничтожались.

......................

Вот интересно. Сижу, читаю, и думаю... Какие ещё, нафиг, "временные страницы"?.. Да нет, бред, ну не может такого быть... Ну не может и всё... Ладно, проверю. Иду на эту "ТюТю", SSL, все дела, дизайн симпатичненький, и "покупаю билет". После заполнения всех этих "имя, фамилия, дата рождения, номер паспорта, номер телефона, белый, родственников за границей не имею, приводов не имел даёт эта "тютю" замечательную страничку, "Выберите способ оплаты" где вся эта красота представлена, тэсэзэть, "в удобном виде" и URL которой имеет чудный параметр result_id с "секретом" ажно из восьми(!) шестицифр... Копирую я эту урлу, вставляю в браузер на виртуалке... И потихонечку ползу пацтол...

dr5u68we45u8wsrghws3456.th.png

Вот такая вот "живопись". Ладно, думаю, как бы тот же комп, тот же внешний IP... Мало ли, может хоть по IP проверка есть... Беру первый попавшийся прокси, так уж и быть, соглашаюсь на "secure over non-secure"... И... снова наблюдаю ту же картину маслом...

s3476w45ydfhw346.th.png

Вот уж, действительно, (Цэ)"Наберут по объявлениям" "со знанием друпала" и потом такие симпатичные скрины получаются... И чего они там за служебную проверку проводят...

  • Upvote 10

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
strat

офф

на окраинах сознания все вертелась маленькая мысль второй день - "а чего это так сайт называется непонятно tutu.ru, что же это означает?" сегодня этот процесс в приоритете idle все таки нашел ответ, хватило мощности проца :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RuJN

все логично, метрика отслеживает страницы заказов, так как на них тоже установлена и передает их яндексу.

похоже, яндекс раздули пиар

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
UIT

а детали есть?

Нет. Самому интересно, особенно поскольку остановлено развитие классического программного варианта и в некоем будущем соответственно нужно будет перебираться на браузерную версию, и получить разных себе неприятностей очень не хочется. * http://money.yandex.ru/wallet/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Deja_Vu

Привет от гугла сайту gov.ru: http://goo.gl/XWPwg

особенно мне понравился вот этот документ: http://goo.gl/fFpQW

вознаграждение за "классное руководство"

...

Республика Башкортостан 456 908 100 рублей!

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
strat

из конспирологических теорий про яндекс, кому это может быть выгодно - яндекс на бирже, скандал, падение курса акций, скупка по заниженной цене...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
strat

http://www.securitylab.ru/news/406498.php

Уголовная ответственность за утечку в поисковики личных данных абонентов сотовых операторов и покупателей товаров в интернет-магазинах грозит пользователям, которые способствовали появлению такой информации в открытых источниках.

Расследованием скандала, связанного с утечками в поисковики личных данных, заинтересовались следственный комитет РФ, МВД и ФСБ. Сотрудники данных ведомств занимаются поиском тех, кто непосредственно опубликовал персональные данные.

В правоохранительных органах считают, что персональные данные попали в Интернет не случайно, а были выложены намеренно.

"Очевидно, это делалось специально, кто-то писал скрипты, чтобы достать эти данные из "Яндекса". С какой целью это было сделано — пока не ясно, но вызывает некоторые подозрения тот факт, что это произошло накануне подписания президентом РФ поправок к закону "О персональных данных"",— утверждает представитель правоохранительных органов. По его словам, вопрос о возбуждении уголовного дела сейчас обсуждается; какое ведомство его возбудит — пока не ясно. Пока речь идет как минимум о ст. 138 Уголовного кодекса РФ "Нарушение тайны переписки...", но рассматриваются и другие статьи. По его словам, "работа будет проводиться" как с "Яндексом", так и с компаниями, у которых произошли утечки, но что конкретно — не уточнил.

ну что вы, это же "несложные" запросы, они сами как-то так получились

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RuJN

а как они найдут, у кого произошли утечки?

яндекс же из кеша вычистил практически все

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

Чето я не понял - это че, всех, кто публиковал ссылки на результаты поиска в Яндексе теперь "привлекут" ? Т.е. это виноваты те, кто опубликовал? :blink:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegAndr

.

Чето я не понял
См тему про закон. Распространение - такое же преступление.

Даже " уточнение" -уже обработка перс данных

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

Прикольно, т.е. человек 100500 "привлекут", включая всех тех, кто тут постил... :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegAndr
Администрация сайта приносит извинения всем пользователям, прочитавшим эти сообщения, и со всей ответственностью заявляет, что ни один байт конфиденциальной информации, связанный с приобретением и бронированием билетов РЖД на сайте TUTU.RU, не просочился в открытый доступ.

ЛОЛ ЩИТО?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
В поисковую систему Яндекс попали обрывочные паспортные данные 50 клиентов раздела Авиабилеты. В другие поисковые системы (Google.ru, Mail.ru и т.п.) персональные данные с Tutu.ru не попали. При этом, сайтом TUTU.RU ежемесячно пользуется больше 5 000 000 человек.

Мне в их сообщениях очень нравится формулировка "обрывочные паспортные данные" - там нет отчества! Хотя фамилии и номера паспорта вполне достаточно для однозначной идентификации гражданина, а значит - это утечка персональных данных по закону.

По предварительной информации, данные были взяты с помощью Яндекс.Бара с временных защищенных страниц сайта. Все эти страницы были защищены в соответствии с законодательство РФ и существовали не более 30 минут, после чего немедленно уничтожались.

Хорошо, что время жизни страниц было выставлено, другие виновные этим похвастаться не могут.

Так все же Яндекс.Бар?

Уголовная ответственность за утечку в поисковики личных данных абонентов сотовых операторов и покупателей товаров в интернет-магазинах грозит пользователям, которые способствовали появлению такой информации в открытых источниках.

Расследованием скандала, связанного с утечками в поисковики личных данных, заинтересовались следственный комитет РФ, МВД и ФСБ. Сотрудники данных ведомств занимаются поиском тех, кто непосредственно опубликовал персональные данные.

В правоохранительных органах считают, что персональные данные попали в Интернет не случайно, а были выложены намеренно.

"Очевидно, это делалось специально, кто-то писал скрипты, чтобы достать эти данные из "Яндекса".

:facepalm:

Прогрессирующий цирроз головного мозга?

Виноваты не те, кто допустил утечку, и даже не те, кто эти данные опубликовал, а те, что их нашел и показал? :blink: Как это все по-рашковки ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
Виноваты не те, кто допустил утечку, и даже не те, кто эти данные опубликовал, а те, что их нашел и показал? :blink: Как это все по-рашковки ...

Должны были сообщить куда надо, а не поднимать шум.... По идее. Но что шум, что сообщить куда надо - как находилось все это в поиске, так и находится.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×