Перейти к содержанию

Recommended Posts

Сергей Ильин
а что, в отношении секс-шопов есть другая версия произошедшего ?

Естественно - уязвимость сервиса WebAsyst Shop-Script, которая ИМХО является первопричиной утечки, мы об этом сразу в новости написали http://www.anti-malware.ru/news/2011-07-25/4373

Даже разрабы признали ответсвенность за инцидент, правда частично:

http://www.itar-tass.com/c95/192790.html

Компания WebAsyst, разрабатывающая программные решения для электронной коммерции, в ближайшие дни выпустит обновление, которое позволит предотвратить попадание личных данных покупателей в поисковые системы. Об этом сообщается в блоге компании. Там признали, что интернет-магазины, с сайтов которых в понедельник произошла утечка, работали на программной платформе именно этой компании.

"Мы понимаем, что часть ответственности лежит на разработчиках приложения "Shop-Script", и стараемся реагировать на проблему максимально оперативно, - отмечают представители компании в блоге. - Мы готовы оказывать всяческую оперативную техническую помощь всем пострадавшим интернет-магазинам, работающим на основе "Shop-Script" и в ближайшие дни выпустим дополнительное обновление, которое полностью и более основательно устранит описанную проблему".

Пока же разработчики предлагают интернет-магазинам следующие варианты предотвращения подобных утечек. Во-первых, рекомендуется ввести дополнительную усиленную авторизацию пользователей на просмотр информации о заказе, для этого необходимо обновить приложение до последней версии. После этого у пользователя дополнительно будет запрашиваться фамилия, и только затем он сможет ознакомиться с информацией о своем заказе. Кроме того, разработчики советуют администраторам сайтов проверить наличие файла "robots.txt", который отвечает за ограничение индексирования информации поисковиками. "Добавление таких правил позволит исключить страницы из будущей индексации магазина поисковиками, - отмечают в компании. - Перечисленные меры полностью закроют доступ к проиндексированной информации с сайтов, однако не уберут данную информацию из кэша поисковиков". В компании добавили, что уже обратились в "Яндекс" с просьбой посодействовать решению проблемы.

Примечательно, что в интернет-магазинах, работающих на основе решения WebAsyst, пользователи могут оформлять покупку без обязательной регистрации в магазине, то есть без создания аккаунта с паролем. Как объяснили разработчики, после оформления заказа пользователю отправляется прямая ссылка на страницу с информацией о заказе и его статусе. "Эта ссылка отправляется покупателю на почтовый ящик, после перехода по ссылке пользователю показывается страница с информацией о совершенному заказе, и именно такие страницы и проиндексировал "Яндекс", - пояснили в компании.

А в блоге они винят Метрики Яндекса, но признают свою ответственность:

http://blog.webasyst.ru/shop-script-privat...em-summer-2011/

Ситуация сложилась неоднозначная. С одной стороны мы, разработчики Shop-Script, не предусмотрели того, что приватный адрес может быть проиндексирован поисковиком «сам по себе», считая, что раз адрес отправляется клиенту индивидуально, то в открытых источниках он не будет опубликован и, следовательно, не будет проиндексирован. С другой стороны, поведение сервиса Яндекс.Метрики — добавлять адрес любой посещенной пользователем страницы сайта сразу в основной индекс — мягко говоря, спорно.

Проблема не в отсутствии файла robots.txt (в недавнем случае с Мегафоном именно это было названо основной технической проблемой), а в отправке пользователям по электронной почте ссылок, ведущих на страницы, содержащие их частную информацию. Например, ссылок на подтверждение регистрации — наиболее распространенный случай. Когда такие ссылки сопровождаются авторизацией пользователя по паролю, проблем не возникает, потому что сначала пользователю необходимо все же войти в аккаунт и уже потом видеть свою информацию. В нашем случае страница показывалась сразу, потому что пароля у пользователя не было — ведь заказ оформлялся без регистрации. Наличие robots.txt и каких бы то ни было инструкцией в нем в данном случае не является решением, так как в ссылке может перейти бот не только поисковика, но и любой другой.

На самом деле молодцы парни, очень все грамотно написали и не стали изворачиваться и отрицать ответственность!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

Людям от этого не легче...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

И вот еще очень интересный пост на Хабре - ответка разработчиков Webasyst Shop-Script, в которой они указывают на Метрику Яндекса, как объединяющий параметр для всех пострадавших сайтов-пользователей их сервиса

http://habrahabr.ru/company/webasyst/blog/124968/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
UIT
уязвимость сервиса WebAsyst Shop-Script

В ситуации с билетами тоже?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
В ситуации с билетами тоже?

Там не использовался WebAsyst Shop-Script, но уязвимость была аналогичная, что и послужило причиной утечки, а не отсутствие robots.txt, который кстати и не принимался в одном случае к исполнению как оказалось (см. http://www.anti-malware.ru/forum/index.php...t&p=135422)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

UIT, а детали есть? Надо раскручивать тему ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

Комментарии Tutu.ru по поводу сообщений СМИ от 26.07.2011 об утечке неполных персональных данных

Как сообщил ряд СМИ, в Яндексе были обнаружены личные данные покупателей железнодорожных билетов сайта Tutu.ru. Вместе с тем, эти данные не соответствуют действительности.

Администрация сайта приносит извинения всем пользователям, прочитавшим эти сообщения, и со всей ответственностью заявляет, что ни один байт конфиденциальной информации, связанный с приобретением и бронированием билетов РЖД на сайте TUTU.RU, не просочился в открытый доступ.

Сервис бронирования и покупки железнодорожных билетов — стратегическое направление нашего развития. Возможность утечки конфиденциальной информации была обнаружена техническими службами сайта за несколько недель до разразившегося скандала. В результате, к 20 июля 2011 года данный раздел был полностью защищен.

Однако, к сожалению, мы не успели полностью закончить работы по усилению зашиты персональных данных на всех разделах нашего сайта. В поисковую систему Яндекс попали обрывочные паспортные данные 50 клиентов раздела Авиабилеты. В другие поисковые системы (Google.ru, Mail.ru и т.п.) персональные данные с Tutu.ru не попали. При этом, сайтом TUTU.RU ежемесячно пользуется больше 5 000 000 человек.

Данные о 50 заказах, на которые ссылаются СМИ, включают:

1. имя и фамилию без отчества,

2. номер паспорта без дополнительной информации и дата рождения.

При этом информация о маршруте, датах поездки, номере рейса, количестве пассажиров и т.п. в поисковую выдачу Яндекса не попали. В настоящий момент в компании проходит служебная проверка. По предварительной информации, данные были взяты с помощью Яндекс.Бара с временных защищенных страниц сайта. Все эти страницы были защищены в соответствии с законодательство РФ и существовали не более 30 минут, после чего немедленно уничтожались.

Данные о заказах, даты рождения пассажиров и прочая информация были защищены дополнительными протоколами, в полном соответствии с принятым Госдумой РФ 5 июля 2011 года законом о защите персональных данных, и не попали в память поисковых систем.

Компания TUTU.RU приносит свои глубочайшие извинения всем клиентам, которых затронула эта утечка.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ntoskrnl
Комментарии Tutu.ru по поводу сообщений СМИ от 26.07.2011 об утечке неполных персональных данных

......................

При этом информация о маршруте, датах поездки, номере рейса, количестве пассажиров и т.п. в поисковую выдачу Яндекса не попали. В настоящий момент в компании проходит служебная проверка. По предварительной информации, данные были взяты с помощью Яндекс.Бара с временных защищенных страниц сайта. Все эти страницы были защищены в соответствии с законодательство РФ и существовали не более 30 минут, после чего немедленно уничтожались.

......................

Вот интересно. Сижу, читаю, и думаю... Какие ещё, нафиг, "временные страницы"?.. Да нет, бред, ну не может такого быть... Ну не может и всё... Ладно, проверю. Иду на эту "ТюТю", SSL, все дела, дизайн симпатичненький, и "покупаю билет". После заполнения всех этих "имя, фамилия, дата рождения, номер паспорта, номер телефона, белый, родственников за границей не имею, приводов не имел даёт эта "тютю" замечательную страничку, "Выберите способ оплаты" где вся эта красота представлена, тэсэзэть, "в удобном виде" и URL которой имеет чудный параметр result_id с "секретом" ажно из восьми(!) шестицифр... Копирую я эту урлу, вставляю в браузер на виртуалке... И потихонечку ползу пацтол...

dr5u68we45u8wsrghws3456.th.png

Вот такая вот "живопись". Ладно, думаю, как бы тот же комп, тот же внешний IP... Мало ли, может хоть по IP проверка есть... Беру первый попавшийся прокси, так уж и быть, соглашаюсь на "secure over non-secure"... И... снова наблюдаю ту же картину маслом...

s3476w45ydfhw346.th.png

Вот уж, действительно, (Цэ)"Наберут по объявлениям" "со знанием друпала" и потом такие симпатичные скрины получаются... И чего они там за служебную проверку проводят...

  • Upvote 10

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
strat

офф

на окраинах сознания все вертелась маленькая мысль второй день - "а чего это так сайт называется непонятно tutu.ru, что же это означает?" сегодня этот процесс в приоритете idle все таки нашел ответ, хватило мощности проца :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RuJN

все логично, метрика отслеживает страницы заказов, так как на них тоже установлена и передает их яндексу.

похоже, яндекс раздули пиар

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
UIT

а детали есть?

Нет. Самому интересно, особенно поскольку остановлено развитие классического программного варианта и в некоем будущем соответственно нужно будет перебираться на браузерную версию, и получить разных себе неприятностей очень не хочется. * http://money.yandex.ru/wallet/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Deja_Vu

Привет от гугла сайту gov.ru: http://goo.gl/XWPwg

особенно мне понравился вот этот документ: http://goo.gl/fFpQW

вознаграждение за "классное руководство"

...

Республика Башкортостан 456 908 100 рублей!

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
strat

из конспирологических теорий про яндекс, кому это может быть выгодно - яндекс на бирже, скандал, падение курса акций, скупка по заниженной цене...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
strat

http://www.securitylab.ru/news/406498.php

Уголовная ответственность за утечку в поисковики личных данных абонентов сотовых операторов и покупателей товаров в интернет-магазинах грозит пользователям, которые способствовали появлению такой информации в открытых источниках.

Расследованием скандала, связанного с утечками в поисковики личных данных, заинтересовались следственный комитет РФ, МВД и ФСБ. Сотрудники данных ведомств занимаются поиском тех, кто непосредственно опубликовал персональные данные.

В правоохранительных органах считают, что персональные данные попали в Интернет не случайно, а были выложены намеренно.

"Очевидно, это делалось специально, кто-то писал скрипты, чтобы достать эти данные из "Яндекса". С какой целью это было сделано — пока не ясно, но вызывает некоторые подозрения тот факт, что это произошло накануне подписания президентом РФ поправок к закону "О персональных данных"",— утверждает представитель правоохранительных органов. По его словам, вопрос о возбуждении уголовного дела сейчас обсуждается; какое ведомство его возбудит — пока не ясно. Пока речь идет как минимум о ст. 138 Уголовного кодекса РФ "Нарушение тайны переписки...", но рассматриваются и другие статьи. По его словам, "работа будет проводиться" как с "Яндексом", так и с компаниями, у которых произошли утечки, но что конкретно — не уточнил.

ну что вы, это же "несложные" запросы, они сами как-то так получились

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RuJN

а как они найдут, у кого произошли утечки?

яндекс же из кеша вычистил практически все

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

Чето я не понял - это че, всех, кто публиковал ссылки на результаты поиска в Яндексе теперь "привлекут" ? Т.е. это виноваты те, кто опубликовал? :blink:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegAndr

.

Чето я не понял
См тему про закон. Распространение - такое же преступление.

Даже " уточнение" -уже обработка перс данных

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

Прикольно, т.е. человек 100500 "привлекут", включая всех тех, кто тут постил... :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegAndr
Администрация сайта приносит извинения всем пользователям, прочитавшим эти сообщения, и со всей ответственностью заявляет, что ни один байт конфиденциальной информации, связанный с приобретением и бронированием билетов РЖД на сайте TUTU.RU, не просочился в открытый доступ.

ЛОЛ ЩИТО?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
В поисковую систему Яндекс попали обрывочные паспортные данные 50 клиентов раздела Авиабилеты. В другие поисковые системы (Google.ru, Mail.ru и т.п.) персональные данные с Tutu.ru не попали. При этом, сайтом TUTU.RU ежемесячно пользуется больше 5 000 000 человек.

Мне в их сообщениях очень нравится формулировка "обрывочные паспортные данные" - там нет отчества! Хотя фамилии и номера паспорта вполне достаточно для однозначной идентификации гражданина, а значит - это утечка персональных данных по закону.

По предварительной информации, данные были взяты с помощью Яндекс.Бара с временных защищенных страниц сайта. Все эти страницы были защищены в соответствии с законодательство РФ и существовали не более 30 минут, после чего немедленно уничтожались.

Хорошо, что время жизни страниц было выставлено, другие виновные этим похвастаться не могут.

Так все же Яндекс.Бар?

Уголовная ответственность за утечку в поисковики личных данных абонентов сотовых операторов и покупателей товаров в интернет-магазинах грозит пользователям, которые способствовали появлению такой информации в открытых источниках.

Расследованием скандала, связанного с утечками в поисковики личных данных, заинтересовались следственный комитет РФ, МВД и ФСБ. Сотрудники данных ведомств занимаются поиском тех, кто непосредственно опубликовал персональные данные.

В правоохранительных органах считают, что персональные данные попали в Интернет не случайно, а были выложены намеренно.

"Очевидно, это делалось специально, кто-то писал скрипты, чтобы достать эти данные из "Яндекса".

:facepalm:

Прогрессирующий цирроз головного мозга?

Виноваты не те, кто допустил утечку, и даже не те, кто эти данные опубликовал, а те, что их нашел и показал? :blink: Как это все по-рашковки ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
Виноваты не те, кто допустил утечку, и даже не те, кто эти данные опубликовал, а те, что их нашел и показал? :blink: Как это все по-рашковки ...

Должны были сообщить куда надо, а не поднимать шум.... По идее. Но что шум, что сообщить куда надо - как находилось все это в поиске, так и находится.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • zakazvzlomax
      Предлагаем Вашему вниманию ПРОФЕССИОНАЛЬНЫЕ УСЛУГИ ВЗЛОМА ПОЧТОВЫХ ЯЩИКОВ. Ломаем почти все почтовики, процент удачного взлома 30%. Вы спросите почему именно мы? Все просто: - Индивидуальный подход к каждому клиенту и каждому заказу.
      - Короткие сроки выполнения заказа, от нескольких минут до 5 дней.
      - Пароль от почты не меняем, он останется прежним.
      - Оплата после взлома почтового ящика по факту.
      - Предоставим любые доказательства (сделаем скриншоты, процитируем ваше письмо, а так же любые ваши варианты).
      - Постоянным и оптовым заказчикам хорошие скидки.
      - Принимаем различные способы оплаты (Яндекс.Деньги, Qiwi, Bitcoin).
      - Большой опыт взлома почты. Цена взлома почты на данный момент составляет - 3000 рублей.
      Цена на взлом почты намерено установлена ниже рыночной, т.к. на данный момент ведется набор клиентской базы, в дальнейшем планируется повышение. Как сделать заказ?
      Просто напишите нам на почту [email protected] почтовый ящик жертвы и мы начнем работу.
      После успешного взлома мы с Вами связываемся, предоставляем все доказательства взлома, Вы переводите оплату и получаете пароль от взломанного ящика.
      Согласны на любые проверки и гаранта! Наши контакты для заказа:
      почта: [email protected]
    • Ego Dekker
      Антивирусы были обновлены до версии 13.0.24.
    • PR55.RP55
      1) В uVS есть:  известные файлы. А если известный файл проявляет сетевую активность этому файлу не свойственную... т.е. это нужно обязательно учитывать. 2) Если сетевую активность проявляет файл с нестандартным расширением. 3) Файл на данный момент не проявляет сетевой активности... Но есть ли у него такая возможность в принципе ? по возможности это должно быть отражено в Инфо. ( для стандартных случаев ) - только для ( объектов автозапуска )  
    • Momo
      На сколько я знаю, то по цене не очень то отличаются, даже там подороже будет. Это первое. И если телефон не б\у брать, а новый, то и у нас гарантия предоставляется, даже в интернет-магазинах. Я вот брал себе Iphone Xs https://gorbushka-market.ru/telefony/apple-iphone/iphone-xs/ и всё в норме. И телефон не китайская копия, а настоящий, и гарантия есть. Так что, не понимаю, зачем себе лишние проблемы создавать. 
    • Lavrans
      Не скажу, что я постоянный игрок,  но раз  в несколько месяцев могу сделать ставку,  особенно в период Олимпийских игр или футбольных  кубков. 
      Так вот,  у меня на телефоне есть такое приложение, https://otstavka.net/1xbet-app-android-ios/ через него обычное делаю ставки. А то искать рабочие зеркала или новых букмекеров нет времени никогда
×