Яндекс: найдется всё

Я думаю, все уже прочитали про новую утечку персональных данных в интернеты (я имею в виду инфу о покупателях интернет-магазинов, в том числе секс-шопов). Ссылка, кстати, до сих пор работает. Второй раз за последнюю неделю, как-то многовато. Народ всполошился, и на тебе – виновник найден. Оказывается всю информацию с закрытых страниц (админки сайтов, магазинов, форумов и т.п.) индексировали кто бы вы думали? Яндекс.Бар и Google Toolbar (в защиту Гугла можно сказать, что у них приватные данные в выдачу не попали, хотя коллега мне подсказывает, что мегафоновские SMS-ки были и у них).

Подробнее читайте на СекЛабе

Яндекс.Бар – хитрый плагин, встроен в российскую сборку Firefox’а, очень часто пытается установиться совместно с разным софтом (например, с русской версией uTorrent). Лично я никогда не устанавливаю вещи, которые мне не нужны, но абсолютное большинство хомячков давят “далее-далее-далее” не затрудняя себя снятием галочек или чтением пользовательского соглашения (упаси Боже). Ну а дальше все работает очень просто: Яндекс.Бар (или Google Toolbar) получает от браузера ссылки, по которым вы щелкаете (которые зачастую содержат закодированный в URL’е пароль к ресурсу). Потом все эти чудесные ссылки попадают в Яндекс или Гугол, которые пускают по ним своих поисковых пауков. И паучок имея в своем распоряжении рабочий урл с паролем прекрасно логинится в закрытую часть сайта (так называемый “черный интернет”) и индексирует ВСЁ что не закрыто специальным файлом robots.txt (вебмастеры и админы сайтов поймут).

То есть человек ходивший в админку Мегафона, туда где лежат чудесные SMS-ки абонентов, при помощи браузера с установленным Яндекс.Баром сам открыл поисковому пауку дорогу к сокровенному.. Вот и всё.

Поэтому резюме – не ставьте нужных плагинов, значение которых вам непонятно, или они вам не нужны! Если уже установлены – удалять!

PS Вот тоже – сделали “Закон о защите персональнх данных”. Головы все отечественных админов уже более года болят от потенциальных проверок и дум о том, как защитить вверенные им данные. А тут – такое.. Пиздец, что и говорить. Самое интересное, что ни Яндекс, ни Гугл за такие проделки подтянуть к ответственности практически нереально, IMHO.