Вчера вечером занялся очередной цифровой скандал, оказалось что поиск Яндекса проиндексировал некие служебные страницы порталов Сбербанка и РЖД и личные данные неопределенного круга лиц стали доступны всем желающим.

В итоге "Яндексу" пришлось вручную удалять из результатов поисковой выдачи документы с персональными данными, а Сбербанк даже поспешил выступить с опровержением того, что личные данные его клиентов просочились в сеть.

Пришлось проверить опровержение опровергающих и следует отметить, что опровержение Сбербанка опровергает сообщение о сливе персональных данных лишь частично. То есть действительно, на представленном скрине (он ниже) нет всех банковских данных клиента, подвергающих опасности его счёт в целом, но персональные его данные, хотя бы частично, раскрыты. Мы знаем как его зовут и знаем что он покупает и знаем номер его счёта в другой компании. Не так уж и мало. А мало ли кто и где и что покупает. Тут ведь можно попасть в схему, которую, в своё время, описывали герои фильма "Карты, деньги, два ствола".

С РЖД всё гораздо хуже, там в открытом доступе оказались заодно и паспортные данные клиентов, помимо информации о том куда они едут и во сколько и с какого вокзала. Очень неприятная история, в которой отдельно хочется привязаться к "Сбербанку".

Вот 6 июля, меньше двух недель назад, Герман Греф заявляет что никакие персональные данные клиентов в облачных хранилищах или других публичных сервисах не хранятся. А наступает 16 июля и оказывается, что некоторые данные, персональные, всё-таки хранятся не очень. Из рук вон плохо они хранятся, говоря честно.

Тут следует сделать важное отступление. Не Яндекс слил или обнародовал или открыл доступ к персональным данным клиентов РЖД и Сбербанка. А некоторые СМИ это именно так изображают. На самом деле айтишники Сбербанка и РЖД каким-то особым образом умудрились забыть про поискового робота Яндекса и не добавили на страницы, которые никому не должны быть видны, специальных отметок запрещающих индексацию поисковыми роботами. В самом простом случае это выглядит так: "Герман Оскарович Греф". Если использовать этот HTML-тэг, поисковые роботы пройдут мимо информации расположенной внутри метки.

Таким образом можно пометить не одну строку, а целые страницы или блоки страниц. Правила использования этой метки или тэга (как вам удобнее) должны прописываться в мануале портала Сбербанка, как заповеди в Библии. Они должны быть и нерушимыми и невозможными к нарушению.

Но одно дело возить на экономические форумы какого-то карманного кришнаита и духовного учителя, а совсем другое дело всерьёз воспринимать те слова, которые постоянно произносишь сам, вроде всех этих аджайлов, агилити, секьюрность и диджитол. Это не заклинания и не мантры, от того что их произносишь, сервис лучше не становится. Точно так же, как от скупки видеокарт оптом не становишься немедленно круче Apple или Microsoft, просто у тебя на складе появляется много видеокарт.

Мне, знакомому с секьюрностью, строго говоря, понаслышке, просто непонятно как можно хотя бы часть данных клиента (любого), оставлять в открытом доступе. Что мешает вообще все персональные данные отправить в интранет, чтобы внешние приложения, доступные или недоступные для индексации, только обращались к этому интранету, через генерацию одноразовых паролей и исключительно после верификации процесса и удостоверения в том, что этот процесс пройдёт в защищенном режиме.

В этом смысле вахтерша в женском студенческом общежитии, в которое я как-то пытался проникнуть в годы бурной молодости, знакома с секьюрностью покруче Грефа. "Нет у тебя, милок, пропуска, не живёшь ты тут, а в гости после 22 не пущу. И Олю твою не позову, ей спать пора", — говорила мне та вахтерша. То есть вахтерша отклоняла запрос извне во внутреннюю систему, потому что запрос (в смысле я) не прошёл процесс верификации (в смысле не предъявил документов) и не выдавала информацию неверифицированному субъекту (в смысле Олю). .

Подробнее читайте на life.ru ...