8 апреля всем миром пишем Тотальный диктант с Dr.Web. Подробнее
  • добавить в избранное
    Добавить в закладки

Берите, не жалко!

Прочитали: 4662 Комментариев: 135 Рейтинг: 289

Утечки, утечки, утечки... Как наши данные попадают к злоумышленникам? Часть утечек — это, конечно, взломы благодаря наличию в корпоративных сетях уязвимостей или ошибок в конфигурации. Но есть и совершенно особенные, нелепые утечки, которые и утечками назвать сложно, так как по сути данные просто выкладываются владельцами в открытый доступ: бери — не хочу. Как это происходит?

О наличии поисковых сервисов знают все. Поисковые роботы перебирают доступные в Сети ресурсы, индексируют их и, используя «шаманские» алгоритмы, выдают результат по запросу пользователя. Но индексируются далеко не все ресурсы. Более того — ресурс может указать поисковому роботу сделать ли тот или иной документ доступным всем. Дело в том, что поисковые роботы, обнаружив некий сайт, не сразу приступают к индексации информации. Сначала они ищут файл robots.txt — текстовый файл в корневой директории сайта, который содержит инструкции для поисковых роботов. Эти инструкции могут запрещать индексацию некоторых разделов или страниц сайта, указывать на правильное «зеркалирование» домена, рекомендовать поисковому роботу соблюдать определенный временной интервал между скачиванием документов с сервера и т. д.

Например, запись в файле Disallow: /about запретит доступ к разделу http://__имя сайта__/about/ и к файлу http:// __имя сайта__/about.php.

#drweb

Но зная, что файл robots должен располагаться в корневом каталоге сайта, его можно открыть напрямую, указав путь в браузере. А зайдя в файл — увидеть строки, доступ к которым закрыт для поисковых роботов.

Пробуем зайти туда и видим:

#drweb

А что лежит в папке orders? Правильно, секретные документы!

#drweb

А еще ссылки на «секретные места» могут располагаться прямо в коде главной страницы:

#drweb

Что происходит из-за невнимательности разработчиков сайта? Допустим, вы завели свой собственный веб-сайт или помогли в этом деле знакомому — сейчас создать сайт «на коленке» достаточно просто. Не обладая профессиональными знаниями в поиске уязвимостей, вы предпочитаете довериться профессионалам, и правильно делаете. И вдруг вы находите сайт, предлагающий подобные услуги, причем за гораздо меньшие деньги, чем обычно…

#drweb

Адрес сайта по понятным причинам мы не приводим, но история свежая и весьма показательная.

И вот получивший нужный ему доступ хакер знает, в надежности какого сайта люди сомневаются, как зовут сисадмина, какой у него номер телефона и т. д. Хотя какой он хакер — скорее, продвинутый пользователь…

Все это было бы смешно, если бы поиском не находились секретные документы весьма солидных организаций.

Публикация документов с сайтов различных российских ведомств с пометкой «Для служебного использования» в выдачах поисковиков произошла 27 июля 2011 г. Помеченные грифом ДСП документы ФАС, ФМС, Счетной палаты, Минэкономразвития, Главного управления спецпрограмм президента России и ряда других ведомств оказалось возможным найти во всех крупнейших поисковиках: «Яндекс», Google, Mail.ru и Bing.

Ранее в сеть утекли свыше 8 тыс. SMS-сообщений, отправленных с сайта оператора «Мегафон», статусы заказов интернет-магазинов, включая секс-шопы, а также данных о пассажирах РЖД с сайтов Tutu.ru и Railwayticket.ru. В публичный доступ попали персональные данные покупателей магазинов: их ФИО, наименование товаров, которые были заказаны, адрес доставки, электронная почта и данные пассажиров — имена и данные о билетах, несколько цифр номеров паспортов пассажиров.

http://ekb-security.ru/news/2970-lr-lr-google.html

#drweb

https://www.dp.ru/a/2011/07/27/Google_proindeksiroval_se

#сайт #корпоративная_безопасность

Dr.Web рекомендует

Доверяй, но проверяй! И отдельно для любителей секретов: у нас от вас секретов нет!

#drweb

Получайте Dr.Web-ки, оценивая выпуск! (1 голос = 1 Dr.Web-ка)

Авторизуйтесь и получите 10 Dr.Web-ок за публикацию ссылки на выпуск в соцсети.

[MAIL.RU] [Twitter]

В связи с техническими ограничениями Вконтакте и Facebook, мы, к сожалению, не можем дать Dr.Web-ок. Но зато вы можете поделиться ссылкой на этот выпуск безвозмездно. Т.е. даром.

Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: