Вы используете устаревший браузер!

Страница может отображаться некорректно.

  • добавить в избранное
    Добавить в закладки

Берите, не жалко!

Прочитали: 8605 Комментариев: 69 Рейтинг: 325

21 декабря 2016

Утечки, утечки, утечки... Как наши данные попадают к злоумышленникам? Часть утечек — это, конечно, взломы благодаря наличию в корпоративных сетях уязвимостей или ошибок в конфигурации. Но есть и совершенно особенные, нелепые утечки, которые и утечками назвать сложно, так как по сути данные просто выкладываются владельцами в открытый доступ: бери — не хочу. Как это происходит?

О наличии поисковых сервисов знают все. Поисковые роботы перебирают доступные в Сети ресурсы, индексируют их и, используя «шаманские» алгоритмы, выдают результат по запросу пользователя. Но индексируются далеко не все ресурсы. Более того — ресурс может указать поисковому роботу сделать ли тот или иной документ доступным всем. Дело в том, что поисковые роботы, обнаружив некий сайт, не сразу приступают к индексации информации. Сначала они ищут файл robots.txt — текстовый файл в корневой директории сайта, который содержит инструкции для поисковых роботов. Эти инструкции могут запрещать индексацию некоторых разделов или страниц сайта, указывать на правильное «зеркалирование» домена, рекомендовать поисковому роботу соблюдать определенный временной интервал между скачиванием документов с сервера и т. д.

Например, запись в файле Disallow: /about запретит доступ к разделу http://__имя сайта__/about/ и к файлу http:// __имя сайта__/about.php.

#drweb

Но зная, что файл robots должен располагаться в корневом каталоге сайта, его можно открыть напрямую, указав путь в браузере. А зайдя в файл — увидеть строки, доступ к которым закрыт для поисковых роботов.

Пробуем зайти туда и видим:

#drweb

А что лежит в папке orders? Правильно, секретные документы!

#drweb

А еще ссылки на «секретные места» могут располагаться прямо в коде главной страницы:

#drweb

Что происходит из-за невнимательности разработчиков сайта? Допустим, вы завели свой собственный веб-сайт или помогли в этом деле знакомому — сейчас создать сайт «на коленке» достаточно просто. Не обладая профессиональными знаниями в поиске уязвимостей, вы предпочитаете довериться профессионалам, и правильно делаете. И вдруг вы находите сайт, предлагающий подобные услуги, причем за гораздо меньшие деньги, чем обычно…

#drweb

Адрес сайта по понятным причинам мы не приводим, но история свежая и весьма показательная.

И вот получивший нужный ему доступ хакер знает, в надежности какого сайта люди сомневаются, как зовут сисадмина, какой у него номер телефона и т. д. Хотя какой он хакер — скорее, продвинутый пользователь…

Все это было бы смешно, если бы поиском не находились секретные документы весьма солидных организаций.

Публикация документов с сайтов различных российских ведомств с пометкой «Для служебного использования» в выдачах поисковиков произошла 27 июля 2011 г. Помеченные грифом ДСП документы ФАС, ФМС, Счетной палаты, Минэкономразвития, Главного управления спецпрограмм президента России и ряда других ведомств оказалось возможным найти во всех крупнейших поисковиках: «Яндекс», Google, Mail.ru и Bing.

Ранее в сеть утекли свыше 8 тыс. SMS-сообщений, отправленных с сайта оператора «Мегафон», статусы заказов интернет-магазинов, включая секс-шопы, а также данных о пассажирах РЖД с сайтов Tutu.ru и Railwayticket.ru. В публичный доступ попали персональные данные покупателей магазинов: их ФИО, наименование товаров, которые были заказаны, адрес доставки, электронная почта и данные пассажиров — имена и данные о билетах, несколько цифр номеров паспортов пассажиров.

http://ekb-security.ru/news/2970-lr-lr-google.html

#drweb

https://www.dp.ru/a/2011/07/27/Google_proindeksiroval_se

#сайт #корпоративная_безопасность

Антивирусная правДА! рекомендует

Доверяй, но проверяй! И отдельно для любителей секретов: у нас от вас секретов нет!

#drweb

Оцените выпуск

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: