В Рунете произошла серия скандалов с утечками персональных данных. Сначала поисковый гигант «Яндекс» проиндексировал около 8 тыс. SMS, отправленных абонентами «МегаФона», и сделал их доступными всем пользователям Глобальной сети. Спустя несколько дней поисковая система выставила на всеобщее обозрение личные данные клиентов 80 различных онлайн-магазинов, включая sex-шопы. Журналисты Telecomblog.ru и вовсе обнаружили в Google файлы с правительственных сайтов, помеченные грифом «совершенно секретно».
Оказывается, в поисковых системах можно найти целый ворох персональных и секретных данных. Например, достаточно набрать в поисковой строке «Яндекса» «inurl:c статус заказа», чтобы узнать, кто что покупал в магазинах интимных товаров; куда и кому эта продукция доставлялась. Пройдя по ссылкам, можно увидеть персональные данные клиентов: их имена, фамилии, адреса и контактные данные, IP-адреса, наименования покупок, даты и время заказов.
А 26 июля стало известно, что в поисковую выдачу «Яндекса» попали персональные данные клиентов, купивших ж/д и авиабилеты посредством онлайн-площадки tutu.ru. Помимо имени и фамилии, эти данные содержали номера российских и заграничных паспортов, а также свидетельств о рождении.
Во всех случаях всю ответственность за публикацию личных данных в «Яндексе» сваливали на нерадивость системных администраторов площадок, которые, якобы, неправильно составили файл robots.txt. (Этот файл указывает, куда поисковая машина имеет доступ, а куда нет). Выходит, что ни в «МегаФоне», ни в десятках онлайн-магазинов ничего не знали про файл robots.txt и о том, как его использовать.
«В течение вторника, 26 июля, будут установлены владельцы сайтов, в том числе тех 15-ти, которые предоставили доступ к наиболее широкому спектру персональных данных. После установления владельцев сайтов материалы по фактам нарушений требований конфиденциальности персональных данных будут направлены в органы прокуратуры для принятия мер прокурорского реагирования. Во вторник Служба направила письмо президенту Национальной ассоциации дистанционной торговли Александру Иванову с приглашением в Роскомнадзор с целью обсуждения сложившейся ситуации и выработки мер по недопущению нарушений требований конфиденциальности персональных данных», - заявил вчера Роскомнадзор.
Однако специалисты считают, что виноваты не только создатели интернет-магазинов. По мнению авторитетного программиста, фрилансера Владимира Стекова, личные данные никогда не были бы опубликованы, если бы не специальные программы «Яндекса» и других поисковиков.
«Чтобы данные были как-то проиндексированы поисковой машиной, на них должно что-то ссылаться. Например, сайт вася-пупкин.рф никогда не будет проиндексирован, если на него не ссылается какой-либо уже проиндексированный ресурс, об этом сайте просто не будет известно, равно, как если на сайте вася-пупкин.рф есть страничка с адресом /someshit.html, и если на неё ничто не ссылается, то она не будет проиндексирована», - поясняет господин Стеков. По его словам, страницы, которые содержали информацию о заказах, - уникальны, как и их адреса. На них нет ссылок, соответственно, о них не знает ни одна поисковая машина, об их существовании известно только клиентам этих магазинов. Но приложение «Яндекса» – «Яндекс.бар», которое могло быть установлено на браузерах покупателей, передаёт поисковой системе все адреса посещаемых ими страниц, соответственно, адреса этих страничек становятся известными и попадают в поисковик. Другими словами, файл robots.txt ни при чем. Поисковая машина никогда не сунулась бы на эти страницы с личными данными просто потому, что не знала бы о их существовании. Однако встраиваемое в браузер приложение «Яндекс.бар» сообщило поисковой машине о том, что они существуют. Помимо «Яндекс.бара» и «Яндекса», есть и другое приложение, посредством которого поисковая машина узнает о конфиденциальных ссылках – «Яндекс.метрика», устанавливаемое на сайтах интернет-магазинов и прочих ресурсах.
Выходит, что поисковик все-таки, косвенно, может иметь отношение к произошедшей утечке, на что, собственно, и намекали с самого начала скандала с SMS топ-менеджеры «МегаФона». В лицензионном соглашении приложения «Яндекс.бар» говорится о том, что все страницы, которые просмотрит пользователь в окне своего браузера, станут известны «Яндексу». Пункт 5.1: «Пользователь настоящим уведомлен и соглашается, что при включении в программе функции показа «индекса цитирования» для определения индекса цитирования сайта в Интернете, который посещает пользователь во время использования программы, правообладателю в автоматическом режиме сообщается анонимная (без привязки к пользователю) информация о посещаемом сайте и загружаемых файлах, до момента отключения указанной функции».
Похожий пункт есть и в лицензионном соглашении «Яндекс.метрики»: «Пользователь понимает и соглашается с тем, что счётчик, установленный на сайте пользователя, собирает анонимные (без привязки к персональным данным посетителей сайта) данные о посещениях сайта пользователя и в автоматическом режиме передаёт их «Яндексу» для получения обобщённой статистической информации, доступной для дальнейшего использования с помощью сервиса как пользователю, так и «Яндексу». Выходит, что де-юре, виноваты лишь сами пользователи, установившие в своих браузерах приложение «Яндекс.бар», и создатели интернет-ресурсов, установившие счетчики «Яндекса». «Это действительно так. На мой взгляд, в первую очередь виноваты создатели сайтов. Но надо понимать, что без приложений «Яндекса» эти данные никогда не стали бы публичными», - заключает господин Стеков.
«В компанию «Яндекс» направлено письмо с просьбой рассмотреть техническую возможность предоставления пользователям отказа в обработке запросов, позволяющих получить доступ к персональным данным граждан», - заявил вчера Роскомнадзор. Между тем, к вечеру вторника выяснилось, что Роскомнадзор вполне может предъявить претензии и иски не только к «МегаФону» и интернет-магазинам, допустившим утечку персональных данных, но и к самому себе, так как это ведомство является государственной структурой. По определенному запросу Google выдает информацию с грифом «секретно» и «совершенно секретно» не только с сайтов sex-шопов, но и с ресурсов правительственных структур (см. скриншот).
Очевидно, что скандал набирает обороты, и поисковым системам, возможно, известно куда больше о каждом из нас, чем можно предположить. На этом, в частности, строится монетизация сервисов «Яндекса». Например, достаточно набрать в поисковой строке «новая машина», как на всех страницах этого ресурса начнет появляться реклама новых автомобилей. Только наивный человек может предположить, что это случайность. Поисковик знает, чем мы интересуемся, что ищем, а теперь выяснилось, что знает и наши паспортные данные, адреса проживания, предпочитаемые товары в sex-шопах и так далее…
Помимо того, кто виноват, возникает и другой вопрос, кому выгоден этот скандал? Ответ очевиден – тем, кто усиленно пытается протолкнуть более жесткий закон «О персональных данных». Если он будет принят, то, например, всех, кто имеет дело с персональными данными, «государевы люди» могут «попросить» приобрести и установить сертифицированную программу, якобы надежно защищающую пользователей от утечки их личной информации. Это огромный рынок и огромные деньги.
Тихон Григорьев, Матвей Никольский, Telecomblog.ru, специально для "Фонтанки.ру".