Скандалы с утечкой персональной информации в Интернете в последнее время возникают с завидной регулярностью. Буквально на днях обнаружилось, что в поисковой выдаче «Яндекса» вполне возможно получить информацию о заказах в различных интернет-магазинах, включая секс-шопы. В открытом доступе оказалась полная информация о покупателе, включая фамилию, имя и полный почтовый адрес, а также о содержимом заказа.

Для этого всего лишь достаточно набрать запрос «inurl:0 inurl:b inurl:1 inurl:c статус заказа». Такая страшная абракадабра на самом деле расшифровывается достаточно просто: мы просим найти страницы, содержащие фразу «статус заказа», причем в адресе страницы должны присутствовать символы «0», «b», «1» и «c». Кстати, еще в 2009-м при появлении в языке запросов «Яндекса» оператора «inurl:» эксперты предупреждали, что в первую очередь его преимущества оценят хакеры, которые будут подбирать сайты, использующие однообразные движки с известными уязвимостями.

Вот и в этом случае под раздачу попали клиенты интернет-магазинов, использующих скрипт WebAsyst Shop-Script. Естественно, что крайних в этом деле не найти. Владельцы интернет-магазинов обвиняют «Яндекс» в том, что его роботы суют нос куда не следует. «Яндекс» говорит, что просто делает свое дело, а виноваты владельцы сайтов, не обеспечившие безопасность информации.

Под подозрение попал набор сервисов «Яндекс.Метрика». Якобы все пострадавшие сайты имели на своем борту эту «змею». Разобраться трудно, но тем не менее поисковая система Google, имеющая такой же оператор «inurl:», личную информацию в выдачу не пускает.

Но как бы то ни было, а спасение утопающих – дело рук самих утопающих. И собственное утопление тоже. Пользователи сами во многом облегчают работу злоумышленникам. Например, в результатах поиска по тому самому страшному запросу я обнаружил страницу, которая позволяла человеку проверить состояние своего заказа. Поля «Номер заказа» и «E-mail» были уже заполнены. А для того, чтобы получить детальную информацию, предлагалось авторизоваться – ввести свою фамилию.

Вроде бы неплохо. Но адрес электронной почты выглядел как familiya_imya@mail.ru! Естественно, что после ввода этой самой familiya сайт услужливо распахнул передо мной полную информацию о заказе. Да и при не очень очевидных адресах вида «что-то@mail.ru» легко вычислить фамилию. Достаточно, например, просто провести поиск по этому адресу в интернете или обратиться к социальной сети «Мой мир». Для этого нужно всего лишь в адресе my.mail.ru/mail/xxxxxx/ заменить xxxxxx на это «что-то» из адреса. С большой долей вероятности мы попадем на личную страницу владельца. И это не является взломом, человек сам выложил ее на всеобщее обозрение. А уж на личной странице можно узнать практически все.

Поэтому, регистрируясь в социальных сетях, форумах, интернет-магазинах, помните – вы зачастую раскрываете о себе гораздо больше информации, чем кажется на первый взгляд. И никто не знает, к кому попадет эта информация, и как он ею воспользуется. Например, нет ничего удивительного, что работодатель не возьмет на работу водителя, который на личной странице рассказывает, что не обращает внимания на светофоры, даже если он в жизни так не делает, а просто написал чепуху. Поэтому соблюдение нескольких простых правил просто необходимо:

1. Минимизируйте общение в Интернете. Понятно, что для многих это равносильно совету поменьше дышать. Но и в этом случае можно свести опасность к минимуму.

2. Ограничьте объем личной информации, которая находится в открытом доступе. Используйте псевдонимы и ники, которые не ассоциируются с реальным именем. Особенно важно приучить к этому детей.

3. Используйте несколько адресов электронной почты: отдельно – для деловой и частной переписки, отдельно – открытый адрес (для форумов, интернет-магазинов и так далее). Открытый адрес должен давать минимум информации о владельце.

4. Для разных учетных записей и сервисов следует использовать разные пароли. Если запомнить множество паролей трудно, то можно выработать простое мнемоническое правило. Например, такое: мой пароль – это слово «лопата», затем первые три буквы адреса сайта и цифра, соответствующая длине названия сайта.

Естественно, что все это должно не заменять, а дополнять применение антивирусных программ, файерволов и прочих средств из арсенала технической защиты, которая бессильна, если пользователь сам размещает личную информацию в Сети.

автор Олег Антонов