Скандал с утечкой личных данных в поисковые системы набирает обороты — пользователи находят в «Яндексе» все новые документы с персональной информацией россиян. Ранее «Ъ FM» сообщил, что в открытом доступе оказались, к примеру, копии паспортов, билеты на самолеты и поезда, а также данные о платежах. В соцсетях были размещены, в частности, материалы с сайтов Сбербанка, ВТБ, департамента транспорта Москвы и сайта Trip.com. По просьбе «Ъ FM» в этих банках прокомментировали информацию.
Фото: Евгений Павленко, Коммерсантъ
Так, в Сбербанке сообщили, что провели проверку и выяснили, что ни в одной из размещенных ссылок не содержались персональные данные. В ВТБ после расследования рассказали, что инцидент произошел по вине третьей стороны, при этом информация, которая относится к банковской тайне, не была передана третьим лицам. Между тем, через «Яндекс» можно было найти билеты на поезд, купленные на сайте travel.vtb.ru, с именами и датами рождения пассажиров.
SEO-специалист агентства интернет-рекламы Rush Agency Павел Медведев отметил, что все указанные сайты могут быть недостаточно защищены, а с каждым днем выявляются уязвимости и на других банковских ресурсах.
«Дело в том, что достаточно вбить в Google или в "Яндекс" простейший запрос без использования каких-либо дополнительных программ, и выдаются данные о людях, об их покупках, номера паспортов, медицинских полисов, водительских удостоверений и так далее. Я выкладывал пример со Сбербанком — там действительно критические сведения не успели попасть в открытый доступ. Но с открытого сайта в любой момент все данные могут утечь, тникакой защиты там нет, это большое упущение. Сейчас я вижу на примере других кредитных организаций — не буду говорить их название — что пользователи находят утечки со сканами документов, то есть там критическая информация уже утеряна», — заключил Павел Медведев.
Поисковая система выдает все документы, доступ к которым не ограничен владельцем сайта, пояснила «Коммерсантъ FM» руководитель пиар-проектов поисковика «Яндекс» Елена Брандт.
«"Яндекс", как и любой другой поисковик, находит в интернете только веб-страницы, которые источником разрешены к индексации. В частности, есть такой файл robots.txt, который разрешает индексирование документа, в том числе это произошло и происходит с закрытыми Google-документами. Это, на самом деле, касается любого поисковика. Есть много примеров того, как некоторые сведения, которые люди не хотели бы раскрывать, они сами оставили открытыми, после чего данные проиндексировались другими поисковиками.
То же самое вы увидите и в Google, и в Mail, и в Rambler.
Файл robots.txt — это такой файл, для которого веб-мастер может указать параметры индексирования сайта. Он может его указать и для всех роботов сразу, ведь так устроено, что интернет как бы обходится поисковым роботом. Веб-мастер точно так же может для каждой поисковой системы по отдельности какие-то части открыть или закрыть. Поэтому владелец сайта, он же веб-мастер, всегда может позаботиться о том, чтобы поисковые роботы любых поисковиков обходили страницы, которые должны попадать в системы, и не обходили, то есть не забирали в поиск те страницы, которые не должны, по их мнению, попадать в эти поисковые системы.
Все это находится на стороне организации сайта, они этим могут управлять.
Это, действительно, та ситуация, в которой поисковик просто не может технически этого никогда сделать — найти какие-то сведения, которые человек закрывал и не позволял искать», — пояснила Елена Брандт.
Ответственность за хранение персональных данных лежит на компании, которая их собирает, подчеркнул адвокат Григорий Красовский. По его словам, исключением могут стать лишь утечка, произошедшая по вине хакеров.
«Если в билетах указаны паспортные данные — номер паспорта, фамилия, отчество, дата рождения пассажира, то, конечно, это персональные данные. Федеральный закон о персональных данных возлагает на организацию определенные обязательства и требования по их обработке и хранению. Если организация получает персональные данные, то она обязана принять определенные меры для их защиты. Но при этом мы, с учетом того, что происходит не только в России, но и по всему миру, понимаем, что практически невозможно на 100% защитить персональные данные от систематических попыток взлома опытных хакеров. И если несмотря на то, что компании выполняли все требования, данные были незаконным способом получены, потом распространены третьими лицами, то я не вижу оснований для наказания этих организаций», — отметил Григорий Красовский.
Ранее в июле в поисковой выдаче «Яндекса» оказалось множество документов с сервиса Google Docs, в том числе материалы об участии компаний в тендерах и пароли к кредитным картам. Тогда эксперты заявили, что инцидент произошел из-за самих пользователей, которые не защищают данные настройками приватности.