Роскомнадзор заинтересовался способностью «Яндекса» искать чужие данные
На этот раз утекли данные клиентов банковИнтернет-пользователи снова стали получать в выдаче «Яндекса» информацию, похожую на персональные данные, обратил внимание специалист по работе с поисковыми системами агентства интернет-рекламы Rush Agency Павел Медведев. В понедельник ему удалось получить с помощью «Яндекса» якобы личные данные клиентов Сбербанка, ВТБ и департамента транспорта Москвы, сообщил он в блоге компании. Инцидентом заинтересовался Роскомнадзор. Ведомство проверяет, как эти организации соблюдают законодательство о персональных данных, и уже направило им запросы, сообщил представитель регулятора.
Вечером 17 июля Сбербанк и ВТБ еще не получали запрос Роскомнадзора, заверили их представители. Представитель «Яндекса» отказался это комментировать.
Ссылки в выдаче «Яндекса» вели напрямую на сайты банков и департамента транспорта. После первых публикаций об утечках большинство упомянутых сайтов перекрыли доступ к опубликованным персональным данным, рассказывает Медведев.
Сбербанк и ВТБ провели проверки по инцидентам, сообщили их представители. Информация по ссылкам якобы с технологических ресурсов Сбербанка не содержит персональных данных его клиентов и не несет для них риска, заверяет представитель Сбербанка. Инцидент в ВТБ произошел по вине третьей стороны, рассказывает представитель банка, но какой конкретно – не уточняет. Он также успокаивает, что информация, относящаяся к банковской тайне, к третьим лицам не попадала.
Меньше двух недель назад обнаружилась способность «Яндекса» к поиску по чужим документам Google Docs. Там были документы и с информацией, похожей на персональные данные; «Яндекс» выдавал даже результаты по запросу «пароли». Публикации об этом появились в ночь на 5 июля. Спустя несколько часов такая возможность пропала, что «Яндекс» не объяснил. Роскомнадзор также поинтересовался у «Яндекса» причинами произошедшего, но ответа пока не поступило.
Поисковый робот «Яндекса» индексирует только те документы, которые не запрещены при помощи специального файла robots.txt, заверял представитель «Яндекса» Илья Грабовский. Робот ходит по сайтам, копирует их цифровой образ, а затем выдает по запросам, объяснял ранее замруководителя лаборатории компьютерной Group-IB Сергей Никитин. А если документ или страница индексированы, они какое-то время будут в кэше вне зависимости от того, что права доступа к документу или странице изменены или контент был удален, указывал руководитель исследовательского центра «Лаборатории Касперского» Юрий Наместников.
Но разработчики любого сайта могут запретить его индексацию и полностью, и частично и тогда поисковики не смогут выдать их пользователям по запросу, уверял аналитик InfoWatch Сергей Хайрук.
В российском законодательстве сейчас нет понятия утечки персональных данных и, соответственно, ответственности за нее, отмечает управляющий партнер консалтингового агентства «Емельянников, Попова и партнеры» Михаил Емельянников. Роскомнадзор может только затребовать информацию об инциденте, провести проверку, а потом привлечь нарушителя к административной ответственности, перечисляет он.
Специалисты по поисковой оптимизации сайтов способны провести аудит сайта всего за несколько часов, но эту процедуру нужно постоянно повторять, указывает Медведев. Он не советует частным лицам проверять в поисковиках, не утекли ли их данные – ведь, вводя в строку поиска запрос со своими персональными данными, пользователь поневоле их распространяет.