Забудьте про Бургер Кинг! Есть утечка документов куда опаснее

Все ещё не можете перестать изливать праведный гнев на несчастную бургерную? Ещё помните про индексацию каких-то там полуприватных Гуглдоков поисковиками? Тут нашлось кое-что более впечатляющее!

Павел Медведев обнаружил новую утечку документов граждан РФ на множестве сайтов, в том числе в доменах Сбербанка и других, через поисковые запросы к Яндексу. Яндекс — найдётся всё (и ваши паспорта тоже)!

Пример поисковой строки



+1 ) 152 фз? Не, не слышали
Опубликовано Павлом Медведевым Четверг, 12 июля 2018 г.

Из ВТБ, «Сбербанка», сайтов государственных и муниципальных услуг Москвы и некоторых онлайн-магазинов утекли: ФИО, номера карт, сканы паспортов, билеты на поезда и самолёты…

В комментариях подсказывают, что это "вновь вышла на связь" старая дыра 2011 года в движке Webasyst ShopScript3

Новость будет дополняться
  • avatar
  • .
  • +34

5 комментариев

avatar
Сбербанк и без ошибок в ПО ещё та дыра… Месяц назад я там реально охренел. Пришёл в офис за выпиской со счета карты, на входе меня отловила девочка и выяснив вопрос потащила к висящим на стенке компам для самоообслуживания. Просит зайти в СБ-онлайн, я захожу, потом она мило отодвинув меня формирует запрос на выписку (что я перед этим и сам дома сделал) и без всяких терзаний указывает адрес, на который отправить результат — что то типа boss_maksik77@mail.ru. Я, мягко говоря, охреневаю и пытаюсь попасть к оператору, раз отловившая меня девочка — это походу что-то типа стажёра на побегушках, то там то уж мне всё сделают как надо. Оказалось — что был не прав. Оператор на мою просьбу ответила — ждать до семи дней, ведь аж в сам Хабаровск надо формировать запрос… Вобщем вот такие печальные дела в этом банке — лёгким движением мышки ваши персональные данные и данные о движении денег могут улететь на левый почтовый адрес в публичном домене…
  • Gvv
  • +1
avatar
В большинстве случаев скомпрометированные порталы пренебрегают элементарными требованиями защиты данных — у них даже отсутствует или неверно сконфигурирован файл robots.txt.



avatar
хехе, robots гарантирует лишь то, что поисковики добровольно не станут читать выложенную в общий доступ инфу.
avatar
Да, давненько проскакивала инфа, что Яндекс будет игнорировать robots.txt (если уже не).
avatar
В комментариях подсказывают, что это «вновь вышла на связь» старая дыра 2011 года в движке Webasyst ShopScript3
Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.