Поисковые ресурсы личных данных

Недавний случай с «утечкой» в открытый доступ смс сообщений с сайта известного оператора показал, насколько критичен вопрос обеспечения безопасности данных в интернете. Жизнь да и работа многих людей неотрывно связаны с взаимодействиями по сети. Но не стоит считать, что утечки так называемых персональных данных — это проблема только российских организаций.

Достаточно вспомнить колоссальные утечки данных на всех жителей Турции в начале года или кражу персональных данных здравоохранения в Великобритании. Относить такие проблемы можно к пассивным, которые не несут изначально цели нанести угрозу людям. С другой стороны можно так же вспомнить скандал с журналом News of the World, когда нанятый ими детектив занимался взломом голосовых почтовых ящиков для вторжения в личную жизнь.

Индексация поисковыми сервисами заказов пользователей интернет магазинов стала известна мне одним из первых. В кротчайшие сроки мы донесли эту информацию до СМИ, чтобы предупредить владельцев и пользователей сайтов о проблеме. Реальная угроза пользователям, имевшим заказы в интернет магазинах, кроется в полном открытии адреса проживания, имени и фамилии, электронной почты и позиций заказа. Злоумышленники при небольших временных затратах получают возможность узнать личные данные покупателей.

Какие последствия могут повлечь за собой эти события? Достаточно представить себе ситуацию, когда человек заказывает лекарственные препараты в интернет-магазине. Казалось бы, просто лекарства, но в ряде случаев они четко могут обозначить даже диагноз. В самом безобидном виде эта информация может быть использована в чисто маркетинговых целях: предложение аналога препарата или услуги лечебного заведения. Но ведь кто-то может даже использовать некоторые диагнозы для шантажа человека, который предпочел бы его скрыть. Заказы интимного характера в интернет-магазинах могут предоставить злоумышленнику явную картину личной жизни и предпочтений человека. Такая информация может сильно компрометировать человека, тем самым это могут быть первейшие цели для возможного шантажа.

Пожалуй, самым криминальным может стать отслеживание ещё невыполненных заказов на дорогие товары, например мебель или бытовую технику. Благодаря такой информации злоумышленники с точностью могут знать о наличии больших денежных сумм по указанному адресу. Это может послужить наводкой к выбору квартиры для кражи.

С другой стороны информация об электронной почте пользователя чревата в том числе и ее утратой. На многих сайтах Вы можете восстановить пароль, если Вы его забыли, введя ответ на секретный вопрос. Примеры таких паролей достаточно просты: «Моя любимая футбольная команда», «Мой любимый телефонный номер», «Девичья фамилия матери», «Номер моего паспорта», «Мое любимое блюдо» и так далее. Ответ на такие простые вопросы можно найти на тех же самых профилях в социальных сетях, где человека с именем фамилия и адресом достаточно легко идентифицировать. Номер Вашего паспорта, цвет вашей машины или фамилию вашей мамы с легкостью узнает любой школьник не то, что хакер.

Примером неудачного использования сервисов так же можно привести в почте настройку другой для восстановления. Тем самым завладев одним почтовым ящиком, злоумышленник может выбрать поле «Я забыл пароль» на связанной почте, и получить на первую ссылку для изменения пароля от другой почты.

Сама проблема индексации страниц интернет магазинов связана с бездумным рвением скорейшего и более качественного появления в поисковых машинах самих владельцев сайтов. В погоне за прибылью владельцы подчас используют стандартные шаблоны сайтов и нанимают в роли веб-мастеров неквалифицированных людей. Наёмные мастера не правильно использовали файл настройки «robots.txt» для поисковых служб. Тем самым они не разграничили индексацию страниц интернет-магазина.

Проблема всевидящего ока поисковых сервисов уже давно на слуху. «Поисковые монстры», планомерно перекапывающие все страницы интернета, не согласуются с требованиями тех или иных законов. Конфиденциальности в интернете уже давно нет, и ситуация продолжает ухудшаться.

В российском законодательном поле мы имеем Федеральный Закон № 152, где четко прописаны данные, которые подпадают под критерий персональных. Так состояние здоровья человека, его материального состояния, личной интимной жизни – это самые критичные и максимально требующие защиты данные. Жесткие требования текущего закона даже повлекли за собой открытое письмо к президенту РФ от специалистов в области ИБ, где выдвигалось мнение о том, что необходимо закон упразднять в том виде, в котором он есть, или делать его более простым и конкретным.

На лицо явное несоответствие текущего закона с его реальным применением, когда большинство операторов персональных данных еще даже не понимают всю ответственность, возложенную на них. Это особенно заметно стало в среде интернет, где закон о персональных данных не выполняется как надо ещё в большей степени. А компании в интернете не всегда даже представляют, что являются операторами персональных данных.

Проблема конфиденциальности данных в интернете, прежде всего, связана с самим появлением такой информации на сайтах. Пользователи бездумно выкладывают данные о себе, не представляя масштаб угрозы. Тематические ресурсы, сайты и социальные сети приучают пользователей к простым правилам, когда «чем больше о вас информации», тем выше Ваш рейтинг. Такой подход уже сам по себе способствует нарушениям, но виновником становится сам человек. Для государства важно не только требовать соблюдения закона со стороны операторов, но и создать общую атмосферу ответственности за свою личную жизнь в интернете у людей.

На мой взгляд, в образовательные программы школ необходимо обязательно вносить новые предметы, которые воспитывали бы манеру общения в интернете и учили чувству ответственности и не безнаказанности. Появление таких образовательных программ должно расцениваться не как инновация и новинка на уровне руководителей страны, а скорее как уже нависшая необходимость. Иначе ситуация будет повторяться вновь и вновь сколько бы жесток не был закон.

Дополнительные материалы:

• Личные данные клиентов секс-шопов оказались в Интернете, РБК daily
• Что грозит пользователям, чьи личные данные попадают в поиск «Яндекса», РБК daily
• «Яндекс» заглянул в корзину покупок, Ведомости
• В «Яндекс» попали данные об электронных билетах россиян, BBC
• Данные покупателей онлайн-магазинов оказались в открытом доступе, Forbs
• Государственные документы должны защищаться шифрованием, а сайты ведомств - проходить аудит безопасности, ИТАР-ТАСС
• Internet Shopping Data Compromised, The Moscow Times
• Нашлось слишком много, Газета.ru
• Очередной скандал с публикацией личных данных пользователей в интернете, Русская служба новостей
• Утечка персональных данных в Яндексе, Москва FM
• Персональные сданные, Деньги
• Яндекс: нашлось все, НГС Новости
• Утечка в "Яндексе": поисковик ни при чем, Россия 24,
• Роскомнадзор накажет криворуких веб-мастеров, НТВ,
• Данные пользователей интернет-магазинов стали общедоступны, НТВ,