Берите, не жалко!

Persona (non) grata

добавить в избранное

Берите, не жалко!

Прочитали: 8607 Комментариев: 69 Рейтинг: 325

21 декабря 2016

Утечки, утечки, утечки... Как наши данные попадают к злоумышленникам? Часть утечек — это, конечно, взломы благодаря наличию в корпоративных сетях уязвимостей или ошибок в конфигурации. Но есть и совершенно особенные, нелепые утечки, которые и утечками назвать сложно, так как по сути данные просто выкладываются владельцами в открытый доступ: бери — не хочу. Как это происходит?

О наличии поисковых сервисов знают все. Поисковые роботы перебирают доступные в Сети ресурсы, индексируют их и, используя «шаманские» алгоритмы, выдают результат по запросу пользователя. Но индексируются далеко не все ресурсы. Более того — ресурс может указать поисковому роботу сделать ли тот или иной документ доступным всем. Дело в том, что поисковые роботы, обнаружив некий сайт, не сразу приступают к индексации информации. Сначала они ищут файл robots.txt — текстовый файл в корневой директории сайта, который содержит инструкции для поисковых роботов. Эти инструкции могут запрещать индексацию некоторых разделов или страниц сайта, указывать на правильное «зеркалирование» домена, рекомендовать поисковому роботу соблюдать определенный временной интервал между скачиванием документов с сервера и т. д.

Например, запись в файле Disallow: /about запретит доступ к разделу http://__имя сайта__/about/ и к файлу http:// __имя сайта__/about.php.

Но зная, что файл robots должен располагаться в корневом каталоге сайта, его можно открыть напрямую, указав путь в браузере. А зайдя в файл — увидеть строки, доступ к которым закрыт для поисковых роботов.

Пробуем зайти туда и видим:

А что лежит в папке orders? Правильно, секретные документы!

А еще ссылки на «секретные места» могут располагаться прямо в коде главной страницы:

Что происходит из-за невнимательности разработчиков сайта? Допустим, вы завели свой собственный веб-сайт или помогли в этом деле знакомому — сейчас создать сайт «на коленке» достаточно просто. Не обладая профессиональными знаниями в поиске уязвимостей, вы предпочитаете довериться профессионалам, и правильно делаете. И вдруг вы находите сайт, предлагающий подобные услуги, причем за гораздо меньшие деньги, чем обычно…

Адрес сайта по понятным причинам мы не приводим, но история свежая и весьма показательная.

И вот получивший нужный ему доступ хакер знает, в надежности какого сайта люди сомневаются, как зовут сисадмина, какой у него номер телефона и т. д. Хотя какой он хакер — скорее, продвинутый пользователь…

Все это было бы смешно, если бы поиском не находились секретные документы весьма солидных организаций.

Публикация документов с сайтов различных российских ведомств с пометкой «Для служебного использования» в выдачах поисковиков произошла 27 июля 2011 г. Помеченные грифом ДСП документы ФАС, ФМС, Счетной палаты, Минэкономразвития, Главного управления спецпрограмм президента России и ряда других ведомств оказалось возможным найти во всех крупнейших поисковиках: «Яндекс», Google, Mail.ru и Bing.

Ранее в сеть утекли свыше 8 тыс. SMS-сообщений, отправленных с сайта оператора «Мегафон», статусы заказов интернет-магазинов, включая секс-шопы, а также данных о пассажирах РЖД с сайтов Tutu.ru и Railwayticket.ru. В публичный доступ попали персональные данные покупателей магазинов: их ФИО, наименование товаров, которые были заказаны, адрес доставки, электронная почта и данные пассажиров — имена и данные о билетах, несколько цифр номеров паспортов пассажиров.

http://ekb-security.ru/news/2970-lr-lr-google.html

https://www.dp.ru/a/2011/07/27/Google_proindeksiroval_se

#сайт #корпоративная_безопасность

Антивирусная правДА! рекомендует

Доверяй, но проверяй! И отдельно для любителей секретов: у нас от вас секретов нет!

Оцените выпуск

Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.

Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей

ka_s
12:18:54 2018-09-23

Пригорюнился, прочитав упоминание про слив данных о заказах с сайта Tutu.ru. Считал, что это ответственная и благонадежная организация.

Денисенко Павел Андреевич
22:05:37 2018-08-06

Доверяй, но проверяй везде и во всем.

Toma
18:39:04 2017-11-30

Доверяй, но проверяй! Это правильно.

Роза
20:18:57 2017-03-21

@eaglebuk, я тоже так и не научилась их делать !-)

Alexander
21:33:21 2017-02-07

Предлагаю такой вариант robots.txt

User-agent: * # правила для всех поисковых роботов
Disallow: /*/ # запрет на индексацию ВСЕХ каталогов
Allow: /pic/ # КРОМЕ каталога с фотографиями для статей на страницах
Allow: / # и корневого каталога (в нем лежат файлы index, robots, sitemap, .htaccess и страницы ошибок 401, 403,404)

Адреса страниц имеют вид http://название-сайта/about

Stalkerson
17:43:19 2017-02-07

Эт да... теперь мне названивают и пытаются впарить всякие там курсы по раззвитию личности... и прямо говорят, что базу им слили... мде.

eaglebuk
22:13:01 2017-02-03

сайты, к счастью, я так и не научился делать

2018
20:04:30 2017-01-13

Продажные сотрудники правоохранительных органов и гос учреждений сами сливают инфу.
И не надо ля-ля, про то, что там порядок. СОРМ-3 и данные сливают легко.

А тут еще подарочек от Яровой. Которая от неграмотности решила забекапить интернет и искать с нем экстремистов.

AntonIT
15:52:20 2017-01-03

Кто-то убегает, а кто-то догоняет!

vitakabanov
10:55:36 2016-12-29

спасибо, на будущее урок

Yuriy
11:17:34 2016-12-23

нормальна )

Okcana
19:41:53 2016-12-22

Не спрятаться.

udginvr
10:17:01 2016-12-22

@Неуёмный_Обыватель, "Разве нельзя разграничить доступ к этой папке какими-либо средствами?"
Можно. Разными способами, хотя бы попросту закрыв папку паролем. Просто все такие вещи усложняют систему, увеличивая расходы на её создание и дальнейшее сопровождение (не говоря уж о том, что это надо заранее предусмотреть).

Неуёмный Обыватель Собкор
00:02:55 2016-12-22

bob123456, не думаю, что обывателю легко подменить скрипты на чужом сервере.

Вячеслав
23:59:49 2016-12-21

Ok!

olgaef
23:31:24 2016-12-21

Статья (рекомендация) на хорошей ноте заканчивается. Спасибо.

bob123456 Собкор
22:58:40 2016-12-21

@Неуёмный_Обыватель, На сколько я знаю, скрипты - это набор команд. Следовательно, их можно подменить. Тогда, наверное, скачается всё.

z21468
22:56:59 2016-12-21

Спасибо рекомендацию.

bob123456 Собкор
22:55:48 2016-12-21

@Неуёмный_Обыватель, Не знаю. Я не эксперт в этом.

Б...а
22:01:53 2016-12-21

все из-за лени

Неуёмный Обыватель Собкор
21:56:50 2016-12-21

@dyadya_Sasha, "Получается так: не желая показать что-то в поисковой системе для обычных пользователей делаешь шаг, чтобы показать это "пользователям" плохим."
Необязательно. Разве нельзя разграничить доступ к этой папке какими-либо средствами?

Неуёмный Обыватель Собкор
21:52:06 2016-12-21

@bob123456, а разве команда "скачать сайт целиком" скачает не то, что есть по ссылкам? А если на какую-то папку нет ссылок, просто все, что лежит в этой папке, используется с помощью каких либо скриптов, то тогда эта папка и не скачается. Не так?

aleks_ku
21:43:16 2016-12-21

и ведь возьмут

vla_va
21:31:24 2016-12-21

Жалко не исправят

Dvakota
21:26:42 2016-12-21

Не радостно такое читать .

В...а
21:18:57 2016-12-21

весьма показательно

НинаК
20:56:14 2016-12-21

секрет полишинеля

Дмитpий Собкор
20:39:41 2016-12-21

Сайтостроение тоже бывает увлекательным, если помнить что сам не робот :)

orw_mikle
20:37:57 2016-12-21

Да и обычных людей тоже, все секреты в открытом доступе на сайтах соц.сетей.

Б...а
20:37:32 2016-12-21

Прочитала.

ek
20:32:34 2016-12-21

а за практику такую не накажут?

Marsn77
20:28:29 2016-12-21

Никогда не размещайте информацию с грифом "Для служебного пользования" на общедоступных ресурсах

kva-kva
20:06:43 2016-12-21

в журнале Хакер уже публиковали?

1milS
20:06:11 2016-12-21

Интересон

mk.insta
19:39:43 2016-12-21

просто ужас

Геральт Собкор
18:16:55 2016-12-21

Будьте внимательны.

djabax
18:14:12 2016-12-21

Robot toy

Luger Собкор
17:57:41 2016-12-21

Утечки всегда случаются от невнимательности.

Nice
17:21:49 2016-12-21

Познавательно.Спасибо за интересную информацию!

DrKV Собкор
16:53:29 2016-12-21

Спасибо за выпуск! Будем знать.

bob123456 Собкор
16:43:26 2016-12-21

И я так понимаю, что данные файлы можно скачать вполне легально, выбрав в браузере опцию "скачать сайт целиком".

natplack
16:19:31 2016-12-21

Ох уж эта невнимательность разработчиков! Невнимательность ли?

tankirulyat
16:10:57 2016-12-21

Ох, уж эти поисковые роботы! чего только не найдут!

2018
15:39:19 2016-12-21

Пора выуживать секретные файлы с сайтов. Не все ж знают про такие ...

Родриго
15:10:10 2016-12-21

мне нравится, чёрт побери!)

Deniskaponchik Собкор
15:08:27 2016-12-21

Ничего не понял, но полезно

maghan Собкор
14:50:19 2016-12-21

Роботы кругом.

maznat
14:31:46 2016-12-21

Как элементарно просто наши данные попадают к злоумышленникам!

maestro431
14:30:17 2016-12-21

Как все сложно!

Nikogo_net_zdes
13:48:10 2016-12-21

О сколько нам открытий чудных готовит просвещенья дух...

Комментарии к другим выпускам | Мои комментарии

Главная

Выпуски

Рубрики

Рейтинг

О проекте

Статистика

Избранное

Инструменты

Антивирусная правДА!TM

Берите, не жалко!

Антивирусная правДА! рекомендует

Нам важно ваше мнение

Комментарии пользователей