Берите, не жалко!
21 декабря 2016
Утечки, утечки, утечки... Как наши данные попадают к злоумышленникам? Часть утечек — это, конечно, взломы благодаря наличию в корпоративных сетях уязвимостей или ошибок в конфигурации. Но есть и совершенно особенные, нелепые утечки, которые и утечками назвать сложно, так как по сути данные просто выкладываются владельцами в открытый доступ: бери — не хочу. Как это происходит?
О наличии поисковых сервисов знают все. Поисковые роботы перебирают доступные в Сети ресурсы, индексируют их и, используя «шаманские» алгоритмы, выдают результат по запросу пользователя. Но индексируются далеко не все ресурсы. Более того — ресурс может указать поисковому роботу сделать ли тот или иной документ доступным всем. Дело в том, что поисковые роботы, обнаружив некий сайт, не сразу приступают к индексации информации. Сначала они ищут файл robots.txt — текстовый файл в корневой директории сайта, который содержит инструкции для поисковых роботов. Эти инструкции могут запрещать индексацию некоторых разделов или страниц сайта, указывать на правильное «зеркалирование» домена, рекомендовать поисковому роботу соблюдать определенный временной интервал между скачиванием документов с сервера и т. д.
Например, запись в файле Disallow: /about запретит доступ к разделу http://__имя сайта__/about/ и к файлу http:// __имя сайта__/about.php.
Но зная, что файл robots должен располагаться в корневом каталоге сайта, его можно открыть напрямую, указав путь в браузере. А зайдя в файл — увидеть строки, доступ к которым закрыт для поисковых роботов.
Пробуем зайти туда и видим:
А что лежит в папке orders? Правильно, секретные документы!
А еще ссылки на «секретные места» могут располагаться прямо в коде главной страницы:
Что происходит из-за невнимательности разработчиков сайта? Допустим, вы завели свой собственный веб-сайт или помогли в этом деле знакомому — сейчас создать сайт «на коленке» достаточно просто. Не обладая профессиональными знаниями в поиске уязвимостей, вы предпочитаете довериться профессионалам, и правильно делаете. И вдруг вы находите сайт, предлагающий подобные услуги, причем за гораздо меньшие деньги, чем обычно…
Адрес сайта по понятным причинам мы не приводим, но история свежая и весьма показательная.
И вот получивший нужный ему доступ хакер знает, в надежности какого сайта люди сомневаются, как зовут сисадмина, какой у него номер телефона и т. д. Хотя какой он хакер — скорее, продвинутый пользователь…
Все это было бы смешно, если бы поиском не находились секретные документы весьма солидных организаций.
Публикация документов с сайтов различных российских ведомств с пометкой «Для служебного использования» в выдачах поисковиков произошла 27 июля 2011 г. Помеченные грифом ДСП документы ФАС, ФМС, Счетной палаты, Минэкономразвития, Главного управления спецпрограмм президента России и ряда других ведомств оказалось возможным найти во всех крупнейших поисковиках: «Яндекс», Google, Mail.ru и Bing.
Ранее в сеть утекли свыше 8 тыс. SMS-сообщений, отправленных с сайта оператора «Мегафон», статусы заказов интернет-магазинов, включая секс-шопы, а также данных о пассажирах РЖД с сайтов Tutu.ru и Railwayticket.ru. В публичный доступ попали персональные данные покупателей магазинов: их ФИО, наименование товаров, которые были заказаны, адрес доставки, электронная почта и данные пассажиров — имена и данные о билетах, несколько цифр номеров паспортов пассажиров.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
ka_s
12:18:54 2018-09-23
Денисенко Павел Андреевич
22:05:37 2018-08-06
Toma
18:39:04 2017-11-30
Роза
20:18:57 2017-03-21
Alexander
21:33:21 2017-02-07
User-agent: * # правила для всех поисковых роботов
Disallow: /*/ # запрет на индексацию ВСЕХ каталогов
Allow: /pic/ # КРОМЕ каталога с фотографиями для статей на страницах
Allow: / # и корневого каталога (в нем лежат файлы index, robots, sitemap, .htaccess и страницы ошибок 401, 403,404)
Адреса страниц имеют вид http://название-сайта/about
Stalkerson
17:43:19 2017-02-07
eaglebuk
22:13:01 2017-02-03
2018
20:04:30 2017-01-13
И не надо ля-ля, про то, что там порядок. СОРМ-3 и данные сливают легко.
А тут еще подарочек от Яровой. Которая от неграмотности решила забекапить интернет и искать с нем экстремистов.
AntonIT
15:52:20 2017-01-03
vitakabanov
10:55:36 2016-12-29
Yuriy
11:17:34 2016-12-23
Okcana
19:41:53 2016-12-22
udginvr
10:17:01 2016-12-22
Можно. Разными способами, хотя бы попросту закрыв папку паролем. Просто все такие вещи усложняют систему, увеличивая расходы на её создание и дальнейшее сопровождение (не говоря уж о том, что это надо заранее предусмотреть).
Неуёмный Обыватель
00:02:55 2016-12-22
Вячеслав
23:59:49 2016-12-21
olgaef
23:31:24 2016-12-21
bob123456
22:58:40 2016-12-21
z21468
22:56:59 2016-12-21
bob123456
22:55:48 2016-12-21
Б...а
22:01:53 2016-12-21
Неуёмный Обыватель
21:56:50 2016-12-21
Необязательно. Разве нельзя разграничить доступ к этой папке какими-либо средствами?
Неуёмный Обыватель
21:52:06 2016-12-21
aleks_ku
21:43:16 2016-12-21
vla_va
21:31:24 2016-12-21
Dvakota
21:26:42 2016-12-21
В...а
21:18:57 2016-12-21
НинаК
20:56:14 2016-12-21
Дмитpий
20:39:41 2016-12-21
orw_mikle
20:37:57 2016-12-21
Б...а
20:37:32 2016-12-21
ek
20:32:34 2016-12-21
Marsn77
20:28:29 2016-12-21
kva-kva
20:06:43 2016-12-21
1milS
20:06:11 2016-12-21
mk.insta
19:39:43 2016-12-21
Геральт
18:16:55 2016-12-21
djabax
18:14:12 2016-12-21
Luger
17:57:41 2016-12-21
Nice
17:21:49 2016-12-21
DrKV
16:53:29 2016-12-21
bob123456
16:43:26 2016-12-21
natplack
16:19:31 2016-12-21
tankirulyat
16:10:57 2016-12-21
2018
15:39:19 2016-12-21
Родриго
15:10:10 2016-12-21
Deniskaponchik
15:08:27 2016-12-21
maghan
14:50:19 2016-12-21
maznat
14:31:46 2016-12-21
maestro431
14:30:17 2016-12-21
Nikogo_net_zdes
13:48:10 2016-12-21