Забудьте про Бургер Кинг! Есть утечка документов куда опаснее +84


Все ещё не можете перестать изливать праведный гнев на несчастную бургерную? Ещё помните про индексацию каких-то там полуприватных Гуглдоков поисковиками? Тут нашлось кое-что более впечатляющее!

Павел Медведев обнаружил новую утечку документов граждан РФ на множестве сайтов, в том числе в доменах Сбербанка и других, через поисковые запросы к Яндексу. Яндекс — найдётся всё (и ваши паспорта тоже)!

Пример поисковой строки.

+1 ) 152 фз ? Не, не слышали

Опубликовано Павлом Медведевым Четверг, 12 июля 2018 г.




Из ВТБ, «Сбербанка», сайтов государственных и муниципальных услуг Москвы и некоторых онлайн-магазинов утекли ФИО, номера карт, сканы паспортов, билеты на поезда и самолёты… В большинстве случаев скомпрометированные порталы пренебрегают элементарными требованиями защиты данных — у них даже отсутствует или неверно сконфигурирован файл robots.txt.

Вот, что можно, например, найти:

image

image

В комментариях подсказывают, что это "вновь вышла на связь"  старая дыра 2011 года в движке Webasyst ShopScript3

Вы можете помочь и перевести немного средств на развитие сайта



Комментарии (231):

  1. DmitriyDev
    /#18883555 / +2

    Ни они первые, ни они последние.
    Интересно, к такому результату приводит нехватка специалистов или желание сэкономить?

    • Dmitry_Dor
      /#18883565 / +11

      Возможно, что как и в случае со сливом «доступных по ссылке» Google.Docs, это результат «взаимовыгодного обмена» информацией между Яндекс.Браузер и поисковиком Яндекс.

      • imanushin
        /#18883775 / +1

        А есть доказательства этой темы?

        • dom1n1k
          /#18883817 / +1

          Слив яндекс-браузером посещенных ссылок уже считается аксиомой) Иначе зачем он им.

          • imanushin
            /#18884045 / -6

            Ну у меня вот есть nuget пакеты, за которые я ни копейки не получил (см. профиль). Там значит троян сидит 100%?

            • nidheg666
              /#18887631

              я тут имел неприятный диалог с техподдержкой яндекса. их софтина яндекс метро мне высадила 20% акамулятора, при условии что я её не запускал с перезагрузки телефона. если вы так свято верите яндексу, то вопрос… что на 20МБ наотсылало яндекс метро?

              • imanushin
                /#18887775 / -1

                nidheg666, я не отвечу на Ваш вопрос, к сожалению.


                Мне изначально не нравится идея dom1n1k: "если продукт бесплатный — значит 100% сливает все пароли к себе на серверы, плюс подкидывает троянов". Хотя не спорю, идея очень проста и понятна.


                Однако, почему же подобное додумывание может быть некорректно?


                1. Не пойман — не вор. Приложение БК вскрыли и перехватили все данные. Однако я не видел, к сожалению, статей, где бы показали похожий анализ про Яндекс-Браузер. То есть сообщество на несколько лет не смогло поймать за руку ни ЯБ под Windows, ни ЯБ под Android.
                2. Лично я вижу как минимум несколько возможных использований ЯБ:
                  2.1. Анализ скорости работы сайтов, для более корректного ранжирования
                  2.2. Анализ скорости работы своих сервисов (в том числе — более детальная аналитика)
                  2.3. Работа на будущее: т.е. сначала создать конкурента для Google Chrome, а потом следить за рынком. По сути это инвестиция в будущее, исследование.
                  2.4. Сравнение контента web-страницы с тем, что получил Яндекс Бот (чтобы ловить дорвеи и т.д.)

                Однако, вполне возможно, что ЯБ и сливает все-все-все ссылки (+контент) со всех web-страниц. Может быть и в фоне подрабатывет Яндекс-Ботом. Почему бы и нет.


                P. S> спасибо за аргументированный ответ, кстати

                • nidheg666
                  /#18888921 / +1

                  скорее всего с разными сервисами по разному. отмести смело можно только пункт 2.3 ибо яндекс таки на ядре хрома сделан, а следовательно быть полноценным конкурентом ему малость сложно.

                  в моём случае данные передавало приложение яндекс метро, которое в принципе имеет только возможность пополнения карты и обновляемую карту метро. предполагаю что 20% зарядки высадились на отправку геолокации, что бы приложение гипотетически могло показать мне интервалы ближайших поездов метро.
                  -имхо, столько энергопотребления за такую фичу это эребор.
                  — вот яндексу я бы не особо хотел доверять своё текущее местоположение. хотя бы по причини близкого нахождения их серверов к нашим спецслужбам.

          • nikitasius
            /#18884643 / +1

            Ну, это вообще свинство. Хотя яндекс давно скатился-покатился, и мейлру доганяет.

            • sevikl
              /#18885847

              а честный бизнесмен усманов разве еще не купил яндекс?

              • Areso
                /#18886361

                У честного бизнесмена есть Mail.ru

              • nikitasius
                /#18886983

                Да хрен его знает. Яндекс и без усманова косячит. Передача "моего круга" та еще куча говна.
                Когда никто ничего никому не сказал, и просто взял и отдал всю базу юзеров.
                Вот комментарий в треде и можно далее искать. И пофигу на соглашение, оповещение юзеров и т.д. и т.п.


                В один прекрасный момент деловая переписка стала достоянием компании ТМ.

          • hexum
            /#18887891

            И это правильно. Бесплатная автоматизированная проверка подсистем аутентификации и авторизации. Ещё бы они услугу авторепорта владельцу сайта за символическую плату предложили — отличный бы сервис вышел.

        • Noiwex
          /#18885141

          История Яндекс.Бар + Мегафон никого ничему не научила, видимо.

        • Vilgelm
          /#18885413 / +1

          Легко проверить: переходите с Яндекс Браузера по какой-нибудь доступной для индексирования ссылке, которую робот не может найти самостоятельно и смотрите что получится.

          Google Chrome, возможно, тоже ведет себя подобным образом, т.к. иногда замечал в выдаче гугла те ссылки, которые иначе туда бы не попали.

      • demimurych
        /#18884025 / +10

        Проверенный и доказанный факт который распространяется как на яндекс так и на гугл. Проверяется очень просто — покупаете новый домен, заводите на нем несколько страниц с длинными не читаемыми названиями, наполните их информацией. Заходите на них с хрома или яндекса браузера. Мониторинге логи. Видите ботов.

        • khim
          /#18884353

          Видеть ботов мало — важно ещё увидеть в результатах поиска свою страницу. Хотя бы задав полностью site:

          P.S. Впрочем на статическую страничку, которую я сам создал и пару слов руками написал и боты не сподобилась зайти. Или домен должен быть вот обязательно новый, а название — длинными и нечитаемыми, а старый с короткими не подходит?

          • demimurych
            /#18884357 / +1

            Новый домен, и трудно угадываемые названия созданы для чистоты эксперимента. Старый домен может иметь занижены приоритет на индексацию. То есть страницы будут проиндексированы, но не обязательно сегодня или завтра.

            • Vilgelm
              /#18885421

              У Яндекса до сих пор есть апы, которые могут происходить раз в две недели (но обычно чаще). Следовательно до апа ваша ссылка не появится в выдаче если ее только не проиндексирует быстробот.

        • bro-dev0
          /#18884525

          Ну домены то все как бы регистрируются, и выдаются регистраторами по запросу, так что этот шаг бесполезен, а вот страница которая по сложному юрл выдается это да странно.

          • demimurych
            /#18884541

            Новый домен нужен для того, чтобы исключить ситуацию когда поисковая машина накладывает свои фильтры на этот домен. Например Гугл очень лоялен к новым доменам в плоскости частоты сканирования, и наоборот, на старые, которые ему чем-то не нравятся, может накладывать определенные частотные фильтры — сканировать не чаще раз в неделю месяц и т.д. Аналогичная ситуация и в Яндексе.
            Потому, чтобы не думать об этих проблемах, для этого эксперимента рекомендуется покупать новый домен.

            • mrpsycho
              /#18886073

              на саб-домен работает?

              зы. неактульно. чуть ниже ответ (

        • DarkByte
          /#18884691

          Вы это сами проверяли? А пробовали не новый домен, а поддомен нового или старого домена? Просто на новые домены даже мой бот заходит посмотреть, но я ни яндекс и не гугл. А вот поддомены подсовывал и яндекс браузеру и хрому, и тишина, никто не зашёл на огонёк.

          • demimurych
            /#18884699

            Как могут распространятся фильтры на домены третьего и выше уровней я не знаю.
            На типичные домены второго уровня — проверял и проверял не только я. Гуглите есть хорошие статьи на эту тему.

          • sni
            /#18887893

            Не совсем так. Поисковики интересуются новыми доменами — могут при появлении активно сканировать и забросить в выдачу даже по тестовым запросам их на непродолжительное время, чтобы посмотреть как отреагируют пользователи на контент (так называемый бонус новичка), но далее обычно у гугла начинается т.к. песочница, когда он не хочет индексировать и ранжировать новые домены, если там нет какого-то мега уникального контента и всплеска наплыва посетителей.

      • vikarti
        /#18884571

        Даже если браузер сливает (а я бы например — не против чтобы сливал, правда с возможностью отключить для сайта/глобально. Пусть помощь в индексации), то это НЕ оправдывает тех кто делает доступными эти документы без авторизации вообще (и наверно не закрыв их robots.txt и тегами в странице для не-индексации).

        • Sabubu
          /#18884575 / -1

          А я, например, против. Пусть сначала предупредит об этом и даст возможность отказаться.

          Закрытие robots.txt никак не поможет от любопытного сотрудника Яндекса, который вручную захочет посмотреть, куда вы ходили.

          • Tantacula
            /#18884585 / -1

            Если вы против, используйте другой браузер, например tor.

            • Areso
              /#18884687 / +1

              И всех своих пользователей заставьте его использовать, ага.
              Ни разу не встречали документов «доступных только по прямой ссылке»? Это оно самое.

              • ProgMiner
                /#18884867

                Такие документы должны быть отмечены, как неиндексируемые.

                • psman
                  /#18885101

                  Это как на двери написать «не входить» на японском и считать что все будут читать, а кое кто даже притворяется слепым.

          • vikarti
            /#18884591

            А я, например, против. Пусть сначала предупредит об этом и даст возможность отказаться.

            По сути тоже самое — только вы хотите эту опцию — opt-in (и наверно даже предпоставленная галочка устроит?) и явным предупреждением.
            Важнее — чтобы она была официально признана (если она конечно есть) и была возможность ее выключить. Или включить.

          • avost
            /#18884745 / +1

            Закрытие robots.txt никак не поможет от любопытного сотрудника Яндекса, который вручную захочет посмотреть, куда вы ходили

            Чорт, вы в самом деле верите, что сотрудники яндекса сидят и ходят такие по ссылкам стапицот тысяч пользователей?
            Ну, и отдельный вопрос — если вы не хотите, чтобы весь интернет имел доступ к вашей странице, на кой вы её в этот интернет выложили?

            • Sabubu
              /#18885241

              Тут несколько факторов, ведущих к уязвимости. Конечно, разработчики должны закрывать такие ссылки от индексирования. Но и браузеры не должны тайком без предупреждения пользователя сливать посещаемые ссылки. Одно другого не отменяет.

              • avost
                /#18888279

                Стоп, вы же о сотрудниках Яндекса говорили, которые вручную ссылки из логов якобы выковыривают…
                И, таки да, здесь несколько уязвимостей и ни одна из них не яндексовая. И главная уязвимость вовсе не в том что не закрыли документ от индексирования, а в том, что не закрыли документ от неавторизованного доступа. СтОит это понять, как всё на свои места становится. А утечка… 90% пользователей вводят ссылку в поле поиска поисковика, а не в адресную строку.

                • makioro
                  /#18889699

                  во всех браузерах на движке хрома это одно и то же поле

                • Sabubu
                  /#18890049 / +1

                  Нет, не все так просто. В Яндекс нанимают в основном талантливых специалистов. Они не могли не знать, что некоторые сервисы используют ключи в ссылках для защиты от доступа. И если они понимали это, но все равно разрешили индексацию таких ссылок ради получения большей прибыли, то это значит, что они понимали риск, но решили прикинуться, что они тут не при чем, и что это глупый робот обходит все незащищенные страницы. А это уже можно интерпретировать, как осознанное бездействие, приведшее к раскрытию персональных данных. Я бы хотел написать «преступное бездействие», но не придумал пока, под какую статью это можно подвести.

                  • Areso
                    /#18893181 / +1

                    ru.wikipedia.org/wiki/%D0%A5%D0%B0%D0%BB%D0%B0%D1%82%D0%BD%D0%BE%D1%81%D1%82%D1%8C (Это преступная халатность, УК РФ ст. 293)
                    «Халатность, то есть неисполнение или ненадлежащее исполнение должностным лицом своих обязанностей вследствие недобросовестного или небрежного отношения к службе либо обязанностей по должности, если это повлекло причинение крупного ущерба или существенное нарушение прав и законных интересов граждан или организаций либо охраняемых законом интересов общества или государства»

          • Hardcoin
            /#18884909 / -1

            Если вы против — закройте эти страницы паролем. Если на них критическая информация, они в любом случае не должны быть в открытом доступе — всегда остаётся риск утечки.

        • DistortNeo
          /#18884661 / +1

          Под ваше утверждение попадают неперсонифицированные ссылки для доступа к файлам из облачного хранилища (google drive, яндекс диск и т.д.).

          • vikarti
            /#18884737

            Что мешает прописать прочитать yandex.ru/support/webmaster/controlling-robot/robots-txt.html robots.txt весь каталог верхнего уровня с ними?

            Вот пробую с самим же яндекс.диском
            ссылка вида yadi.sk/i/7wlg
            в robots.txt вижу в том числе Disallow: /i/
            Выбираю «просмотреть» (это word'овский документ) и ссылка открывается на docviewer.yandex.ru/ но там robots.txt из двух строк вообще
            User-agent: *
            Disallow: /

            Так что нет, Яндекс.Диск не подпадает.

    • Zmiy666
      /#18883571 / +3

      скорее наплевательское отношение к работе, к потребителям и тд, характеризующее конторы типа втб и сбера. Делается все «на отвали» просто по тому, что руководство не волнует, что будет с клиентами, они знают, что какая бы жопа не случилась — рука государства вытащить их из болота. Это не мелкие конторы среди моря конкурентов, когда за каждого клиента идет война и такой косяк может контору похоронить.

      • immaculate
        /#18885215

        Ой, ну прям быть мелкой конторой — это серебряная пуля. Решает абсолютно все проблемы.


        Если что, в мелких конторах еще больше нехватка разработчиков, и часто качество и безопасность приносится в жертву «business requirements».


        Разработчик: «У нас здесь SQL injection в унаследованном коде, который мы купили у компании А»
        Менеджер: «Твоя задача на сегодня починить форму Б в модуле С. Это важная задача для бизнеса. Через два месяца мы выкатим новую версию, тогда у тебя будет время, чтобы исправить эту injection и остальные баги».


        Но естественно, через два месяца будет какой-то другой аврал, и все баги, дыры, и так далее копятся до бесконечности.

    • poznawatel
      /#18883837 / +1

      К такому результату приводит отсутствие обязательности покрытия ущерба организацией, упустившей чужую информацию.

    • olgerdovich
      /#18884075 / +4

      не мусорьте в ноосфере, не путайте «не» и «ни»

  2. kentaskis
    /#18883567 / +45

    Хорошая попытка, Бургер Кинг, но нет.

    • akurilov
      /#18883603

      Вот ровно тоже самое подумал, теми же словами. Но меня опередили

      • Infernion
        /#18883645

        Такую же мысленную посылку заметил :)

        • MTyrz
          /#18884089

          Просто астрологи объявили неделю сливов…

  3. MasterArterius
    /#18883605 / +19

    Все вполне ожидаемо, гос сектор в РФ работает примерно так, сверху выделяется пара миллионов на проект (которые успешно пилятся), до программистов доходит тысяч 30-60, за эти деньги можно найти или студента или не особо квалифицированного сотрудника, на выходе получаем дырявое ПО.

    P.s. Одно время работал в этих сферах, знаю о чем говорю

    • Xalium
      /#18884119 / -3

      ну теоретически приложение сбербанка тоже должно туда относиться.
      Но оно вполне хорошее

      • akurilov
        /#18884373

        Это у сбербанка то хорошее приложение?
        0_0

        • vaizmanai
          /#18884407 / +1

          Да.

          • tyderh
            /#18884927 / +1

            Вы действительно хороших, значит, не пробовали. У сбера мало того, что убогое, так еще и хочет телефонную книжку слить себе.

            • vaizmanai
              /#18884953

              Так вы поделитесь названиями и я обязательно попробую.

            • immaculate
              /#18885217

              Справедливости ради, у Сбера неплохое приложение. Я работал с приложениями банков, которые были намного хуже. В том числе, зарубежные большие банки.

            • EgorZanuda
              /#18885253

              Без доступа к слива телефонной книги приложение еще запускается, а вот с запретом доступа к сливу смс, приложение уже не открывается.

              • lDrakonl
                /#18887897

                Я вообще не разрешаю приложению ни смс ни книгу. И норм. Удручает только антивирус, который периодически запускается.

            • zartarn
              /#18885717

              Раньше подтупливало, долго грузилось из за антивиря встроенного, но с посоденим обновлением (неделя назад) любо дорого посомтреть. Работает шустро, всё работает как надо. Мне очень даже.

              • EgorZanuda
                /#18885781

                Как раз это плата за копирование всех твоих СМС сообщений на сервера сбербанка.

                • zartarn
                  /#18885825

                  Во первых — У меня там только смски от сбербанка.

                  Во вторых
                  И всё работает спокойно.
                  image

                  • zenches
                    /#18887895

                    С месяц назад Android-приложение сбера напрочь отказывалось стартовать, если не предоставить доступ к СМС.
                    Собственно, тогда я с ним и попрощался.

              • tyderh
                /#18886297

                долго грузилось из за антивиря встроенного

                Об "антивире", сливающем им данные обо всех установленных и устанавливаемых приложениях я уже и счастливо забыл, спасибо за напоминание.

                • zartarn
                  /#18886391

                  А есть ссылока для почитать поподробнее?
                  А чего он может там такого страшного слить/рассказать? у меня как раз самое критичное, это сберовское прилоежние. Смски и контакты, как выше на скрине видно — я ему запретил.
                  А разве не любой антивирус собирает инфу обо всем на устройсвте и отправляет ее, в довольно обезличенном виде? Вроде бы это уже давно обычная практика.

                  • tyderh
                    /#18886409

                    Когда я пользуюсь онлайн-банком, я хочу пользоваться онлайн-банком. Сбербанк-онлайн же пользуется мной и эту вредоносную функциональность отключить не дает.


                    А разве не любой антивирус собирает инфу обо всем на устройсвте и отправляет ее, в довольно обезличенном виде?

                    А где гарантии, что он делает это в обезличенном виде и в одном из апдейтов не перестанет? Нафига мне вообще антивирус на android?


                    А есть ссылока для почитать поподробнее?

                    Тут ничего читать не нужно, он слушает интенты установки приложений и отправляет их все на сервер. Если что-то "вредоносное" — сразу будет видно уведомление от типа-антивируса.


                    А чего он может там такого страшного слить/рассказать?

                    Это банк, у которого ни стыда, не совести. Им нужны данные ради данных, чтобы (не) выдавать кредиты. Они каким-то образом умудрились получить мои паспортные данные и адрес проживания еще до того, как я стал их клиентом.


                    Это еще можно вспомнить о том, что если по какой-то причине он посчитает девайс рутованным (например Wileyfox, который из коробки с цианогенмодом), то тебе придется действительно его рутовать, чтобы полноценно пользоваться всеми функциями.

                    • zartarn
                      /#18886455

                      Когда я пользуюсь онлайн-банком, я хочу пользоваться онлайн-банком. Сбербанк-онлайн же пользуется мной и эту вредоносную функциональность отключить не дает.

                      Он пытается обезопасить себя и клиента (официальная позиция). При наличии рут прав доступны только шаблоны (яб пользовался только шаблонами в приложении, но у них нет такой урезанной версии увы).
                      А где гарантии, что он делает это в обезличенном виде и в одном из апдейтов не перестанет?

                      Презумпция невиновности, доказательств обратного небыло.
                      Тут ничего читать не нужно, он слушает интенты установки приложений и отправляет их все на сервер. Если что-то «вредоносное» — сразу будет видно уведомление от типа-антивируса.

                      У меня он в фоне никогда не висел, может поэтмоу и не видел.
                      Они каким-то образом умудрились получить мои паспортные данные и адрес проживания еще до того, как я стал их клиентом.
                      Любой из работодателей мог поделиться. Мы же не контролируем что как идут отчисления, все на работодателе.
                      Да и учитывая как часто и где светится паспорт, уже как то сложно считать его персональными данными. :(

                      • tyderh
                        /#18886513

                        У меня он в фоне никогда не висел, может поэтмоу и не видел.

                        Ему не нужно висеть в фоне, чтобы слушать интенты.


                        Он пытается обезопасить себя и клиента (официальная позиция).

                        Да плевать на эту позицию. Победа вон ради "снижения стоимости билетов" не дает пассажирам меняться местами, даже если из-за этого родители и дети летят не рядом. Я считаю, аналогичного качества официальная позиция.


                        Презумпция невиновности, доказательств обратного небыло.

                        Тут есть презумция сбербанка, который уже необезличенно сливает себе телефонную книжку и смс.


                        Любой из работодателей мог поделиться. Мы же не контролируем что как идут отчисления, все на работодателе.

                        Никаких работодателей не было.


                        Да и учитывая как часто и где светится паспорт, уже как то сложно считать его персональными данными. :(

                        Ну да, с отношением "презумпции невиновности" в отношении приложений, которые чуть ли не звуки пердежа уже записывают и сливают — не удивительно.

                        • zartarn
                          /#18886533

                          Ему не нужно висеть в фоне, чтобы слушать интенты.

                          их сервису нужно, а на в моем случае убивается всё что не разрешено. у MIUI такая политика с энергопотреблением)

                          • tyderh
                            /#18886569

                            Ничего страшного, сольёт, как проснется

        • Tomasina
          /#18884645

          По сравнению с МБ других банков оно еще весьма на неплохом уровне по юзабельности.

      • scg
        /#18884517

        Сбербанк один из самых щедрых работодателей в IT сфере. Хороших программистов там много.

        • Areso
          /#18884689

          Хороших программистов мало, чтобы сделать хороший продукт.

          • scg
            /#18884935

            Согласен. Но для хорошего продукта они обязательно должны быть.

        • Eagle_NN
          /#18884727

          Тут выкладывали их HR'ов… Такие запросто что угодно развалят :)
          Да и пересекался я по работе с выходцами сбертеха. Далеко не все там радужно, хотя и платят.

          • scg
            /#18884931

            Ну, в оригинальном комментарии, наоборот хвалили приложение Сбербанка :) У меня тоже пару бывших коллег ушли в Сбер, и ничего плохого о них сказать не могу. А вот меня не взяли :)))

            • Eagle_NN
              /#18886097

              В этой ветке комментариев основной посыл в том, что мало набрать отличных программеров. Надо еще уметь делать продукт. Т.е. создать такую команду которая сможет это сделать.
              Подходы разные к этому бывают. Иерархия с архитекторами во главе. Почти плоская структура когда всем рулят тимлиды. Смешанные подходы. Не суть, главное чтобы энергию талантливых программеров кто-то направлял в правильное русло.

        • Anton131313
          /#18887657 / +1

          Хороший программист в эту шарагу не пойдет

    • Sabubu
      /#18884401 / +1

      Но проблема еще и в культуре самих разработчиков, даже на Хабре в комментариях можно увидеть легкомысленное отношение к сбору перс. данных («все собирают», «все о нас и так известно, ничего не поделать», «вы же сами все в соцсети выкладываете»). Не хотелось бы, чтобы таким доверяли разработку приложений.

    • DistortNeo
      /#18884567 / +1

      Дело даже не в распиле, а в том, что в случае госфинансирования цена имеет большее значение, чем качество.

      Платить адекватные суммы исполнителям попросту невозможно из-за госконтроля. Ситуация, когда конечный программист получает больше денег, чем начальники, в госструктурах просто немыслима. Поэтому, когда проект таки надо сделать хорошо трудом квалифицированных специалистов, приходится искусственно завышать трудоёмкость и нанимать левых людей, которые будут раз в месяц снимать зарплату и отдавать её обратно.

      • MasterArterius
        /#18884915

        Окей, вот реальный пример, 3 программиста зп 30к-50к, проект ровно на 1 месяц, контора за него получила 1кк, итого 150к на прогеров, понятно что налоги еще, но все же
        Если у директора зп 500к тогда вопросов нет (а чем это не распил ?)

      • Sabubu
        /#18885235

        Вы странные вещи пишете. «Честно работать нельзя, потому давайте обманывать». Но я не вижу тут логики. Я не понимаю, что мешает «госконторе» нанять хороших высокооплачиваемых разработчиков. Если там есть какие-то ограничения на зарплаты, то тогда госконтора может провести торги и заказать разработку у коммерческой компании без таких ограничений.

        Умников, которые делают все эти трюки со снятием зарплат, надо разоблачать и сажать в тюрьму. Либо работайте честно, либо не работайте вообще.

        • Sabubu
          /#18885243

          Да и вообще, с каких пор «госконторы» должны разрабатывать ПО? У нас что, задача государства заниматься разработкой ОП? Разве что что-то военное и секретное. Все остальное должны делать коммерческие компании.

          • immaculate
            /#18885347

            Почему нет? Вот даже в США, которых многие на Хабре считают образцом во всем, в US Air Force решили писать код сами. Конечно, не только они пишут, просто это первое что вспомнилось, так как об этом недавно писали на Hacker News.

            • Areso
              /#18885503

              А потом рассказывают смешные анекдоты про деление на ноль в ПО самолетов при полетах в районе Мертвого Моря.

              • BD9
                /#18887541 / +1

                Не «деление на ноль», а — «переход через ноль».

                • Areso
                  /#18887671 / +1

                  Переход через ноль не вызовет перезагрузки ПО, если в этот момент на этот ноль ничего не делить)
                  Впрочем, возможно, что отрицательные integer там были тоже не предусмотрены))

          • JobberNet
            /#18885359

            с каких пор «госконторы» должны разрабатывать ПО?

            Вам имя контрадмирал Хопер Грейс что-нибудь говорит?

            • Sabubu
              /#18885451

              А я написал про исключение для военных.

          • DistortNeo
            /#18886363

            Военного и секретного не так уж и мало. Просто посмотрите на структуру бюджета нашей страны.

        • DistortNeo
          /#18886333

          Я не понимаю, что мешает «госконторе» нанять хороших высокооплачиваемых разработчиков.

          Невозможность платить им конкурентоспособную зарплату.


          Если там есть какие-то ограничения на зарплаты, то тогда госконтора может провести торги и заказать разработку у коммерческой компании без таких ограничений.

          Ага, если контракт на 9 месяцев, то собственно на работу остаётся 7 месяцев (время на оформление + работы должны быть выполнены за месяц до окончания контракта). Если же отдавать заказ сторонней фирме, то вычитаем ещё 4 месяца (2 месяца — торги, месяц — оформление, месяц — сдача), остаётся 3 месяца на работу. Как-то маловато, не находите?


          К тому же, есть контракты, в которых явно прописана трудоёмкость в человеко-месяцах, и исходя из этой трудоёмкости и расчитывается стоимость контракта. И фактические трудозатраты должны совпасть с проектными. То есть даже если отдать разработку коммерческой компании, она тоже не сможет решить задачу меньшим числом людей.


          Умников, которые делают все эти трюки со снятием зарплат, надо разоблачать и сажать в тюрьму. Либо работайте честно, либо не работайте вообще.

          Так я не против. Но тогда придётся посадить половину страны (включая получающих серую зарплату и их работодателей), а у нас столько мест в тюрьмах нет.


          Бороться надо с причиной, а не со следствием.

          • JobberNet
            /#18886579

            тогда придётся посадить половину страны (включая получающих серую зарплату и их работодателей), а у нас столько мест в тюрьмах нет

            Увы, наличие мест совсем не обязательно:
            — вывезти в Сибирь
            — высадить в тайге
            — поставить вокруг охрану
            — раздать всем пилы
            — кто не построит барак до заката будет ночевать на морозе
            image

            • JobberNet
              /#18886939

              Я не говорю, что это хорошо, я говорю, что это реализуемо.

    • pavel_1406
      /#18885393

      Вопрос не в пилеже, это не те деньги, которые интересны. Есть сферы где это намного выгоднее.


      Главный враг — это забюрократизированность процесса и в связи с этим огромное количество административных работников, которые тоже хотят кушать.


      Программист не будет готовить пакет проектной документации, готовить отчеты и улаживать вопросы соответствия регламентам и лицензирования.


      Поэтому и получается, что в проекте львиная доля работы и денег на персонал уходит на бюрократию.


      А причина — в выстроенной огромной неповоротливой вертикальной структуре гос аппарата.

      • DistortNeo
        /#18886433

        Считайте это аналогом БОД.

        • Areso
          /#18886595

          БОД позволяет самореализовываться (складывать и продавать оригами, заниматься йогой), начинать бизнес, да лежать на диване в конце концов, а не заниматься ИБД, попутно ненавидя все человечество.

      • makioro
        /#18889727

        Вопрос не в пилеже, это не те деньги, которые интересны. Есть сферы где это намного выгоднее.

        Не каждый чиновник имеет доступ к распилу любой сферы
        Кто-то пилит миллиардами, кто-то миллионами, а кто-то тысячами

    • Fortune777
      /#18886691

      Так вот почему меня бесят все государственные сайты… Интерфейс неудобный, везде шняги всякие вылазят — то текст наложен друг на друга, то ссылка в никуда ведет…

  4. maxzhurkin
    /#18883629 / +11

    Да что за привычка!?
    То пробел посреди слова воткнут, то дефис!
    Слова «посерьёзнее», «получше», «похуже» и т. п. пишут слитно

    • Jeditobe
      /#18883773 / -9

      Вы всегда можете изложить свои мысли по поводу грамматики и синтаксиса в личных сообщениях. Я вот сейчас исправлю, а ваш комментарий сейчас же станет очень странно выглядеть…

      • withkittens
        /#18884055 / +7

        Отлично комментарий будет выглядеть. Кто-то обратит внимание, запомнит и не напишет в следующий раз «по-хуже».

        Более того, большинство людей тут не глупые: они делают так, как им удобнее, а не как якобы кем-то там принято. Написать об ошибках в комментариях намного проще, чем открывать новую вкладку (мы же хотим статью дальше читать?), выискивать личные сообщения, здороваться, указывать ссылку, где, дескать, эти самые ошибки спрятались, и т.д.

        Вот вам мемесик на тему
        image

        • 9660
          /#18885529

          они делают так, как им удобнее, а не как якобы кем-то там принято

          Это и про следование грамматике можно сказать не изменив ни буквы.

      • olgerdovich
        /#18884085 / +2

        замечательно выглядит комментарий, просто великолепно!
        и, кстати, намного лучше вашего.

      • maxzhurkin
        /#18884109 / +2

        По поводу основного текста статьи я бы с вами согласился.
        Автор статьи всегда может десять раз погуглить и десять раз спросить товарища, как грамотно написать заголовок, благо текста в заголовке кот наплакал. И вы этот шанс упустили
        P.S. И это не просто мысли, это факт
        P.P.S. В следующий раз придётся эту ремарку про комментарии и личные сообщения сразу писать

      • maxzhurkin
        /#18884121

        Вы обещали исправить заголовок, а на самом деле, изменили его.
        Я имею в виду, что исправленный заголовок звучал бы «Забудьте про Бургер Кинг! Есть утечка документов посерьёзнее»

      • Xalium
        /#18884127 / +1

        вы всегда можете запихать то, что написали, в ворд и ему подобное.
        даже вместе с тегами косяки видно сразу

    • justhabrauser
      /#18884769

      Есть еще слово «истчо».
      Коллега — тут в комментариях «кино и немцы», а Вы к автору дорвались…
      Хотя да — такие вещи лучше выносить за пределы «лички».
      Что бы прекратить эти ваши «рассупонилось».

      • maxzhurkin
        /#18887877

        Вот Вы, к примеру, в слово «чтобы» зачем-то пробел вставили (но в сочетании «что бы то ни было» и, возможно в некоторых других местах, слова «что» и «бы» пишутся отдельно)

        • justhabrauser
          /#18888211

          «C чем поведешься — от того и забеременеешь». Набрался же этих ваших интернетов.
          «Чтобы» конечно же.

  5. nefone
    /#18883665 / -11

    данные выпущенные в сеть, как дама брошенная в толпу.

  6. saintbyte
    /#18883671 / +5

    Тут блок с вакансиями как бы намекает почему столько всего утекает: «Специалист по защите информации ИНВИТРО Москва от 85 000 до 115 000 ».

    • Listrigon
      /#18883823 / +2

      А что, 115 000 это прямо вот так СОВСЕМ мало для Москвы?

      • gecube
        /#18883885 / +3

        Вообще-то, ниже среднего, да

        • Listrigon
          /#18883901

          Из комментария мне показалось, что 115 000 это не просто ниже среднего, а дно, на которое пойдет только совершенно некомпетентный работник.

          • edogs
            /#18883951 / +3

            Для специалиста по защите информации который будет работать в крупной медицинской фирме с кучей отделений 115к действительно дно.
            Это не «поправить верстку» и «добавить пару полей в базе» где даже для москвы 30к за глаза и за уши.

            • Xalium
              /#18884135 / -5

              Выше запятые и им подобное обсуждали.
              У тебя/вас 3 запятые пропущены.

            • GregFisher
              /#18885369

              Причем тут ИБ, и «поправить верстку и пару полей в базе»? :) Любая контора, которая присутствует в сети и заботится о своей безопасности, должна правильно выстраивать структуру отдела, а значит отдел разработки должен включать в себя php, java и др. прогеров, верстальщиков, которые непосредственно подчиняются и отчитываются ИБэшнику.
              Если у вас 1 IT-шник программист-верстальщик-ибэшник, скоро конторе придет пи… ц :)

            • DMGarikk
              /#18885591

              Это не «поправить верстку» и «добавить пару полей в базе» где даже для москвы 30к за глаза и за уши.


              в Москве 30к это зарплата оператора техподдержки банка, с нулевыми знаниями. туда берут всех подряд кто говорить умеет
              а вот «поправить верстку» и «добавить пару полей» это уже какая никакая квалификация

      • RomaZveR
        /#18884097 / +5

        Для специалиста по ИБ совсем мало.

    • Suvitruf
      /#18883893 / +13

      ИНВИТРО — шарашкина контора. Я к ним 3 года назад ходил на собеседование как Android разработчик. Предложили 70к на руки и 30к в конверте. Знаете как они оправдывали конверты? Цитирую:

      У нас прошлые сотрудники плохо работали, поэтому мы решили так подстраховываться теперь. Если вы будете плохо работать, то конвертика не получите

      • gecube
        /#18884073 / +6

        Есть варианты, как делать то же самое по ТК (смотрим — премирование по результатам или kpi), поэтому — да, з/п в конвертах — плохой звоночек

      • Xalium
        /#18884141 / +1

        всегда думал, что конвертики только для того, чтобы не платить налоги.
        А тут оказывается еще чего то есть… (ирония если что)

        • DistortNeo
          /#18884307

          Учитывая, что 3 года назад зарплаты 70к было достаточно для достижения предельной базы, выше которой налоги существенно ниже это действительно странно.

          • dmitry_dvm
            /#18884963

            Расскажите поподробней про базу?

            • Areso
              /#18885509

              Пенсионные (самые большие, в общем-то) взносы считаются в районе 22% до определенного порога дохода за год. А дальше процент налогов сильно падает (до 10%).
              www.notariato.ru/article/a00009-predelnaja-velichina-bazy-dlja-nachislenija-strahovyh-vznosov
              Гуглить Регрессивная шкала для взносов / предельная база.
              Для ФСС отчислений это тоже верно.

        • Inine
          /#18884391 / +1

          Да там много для чего. И для «болеете за свой счет» и для «новогоднюю неделю работаете, либо отдыхаете за свой счет» и так далее.

      • AvioD
        /#18887717

        Вы бы спросили, раз такие пироги, то если хорошо будете работать — вам два конвертика с 30к выдадут? Или они предпочитают исключительно метод кнута и кнута, без пряника?
        А если серьезно, наглость ужасная. Я бы не счел возможным продолжать собеседование после таких заявлений.

  7. anador
    /#18883675 / +6

    Ну вы серьезно? Это уже даже не смешно
    www.anti-malware.ru/news/2011-07-25/4373

    Изображение
    image

  8. Andy_U
    /#18883683

    С билетами бывает интереснее.

    Как-то получил на свою gmail почту вида <имя>.<фамилия>@gmail.com подтверждение какого-то левого бронирования на рейс со ссылкой на само бронирование с возможностью его изменение/отмены. По-видимому, мой однофамилец почему-то указал мой e-mail. Или ошибся, или своей почты не было? Авиакомпанию за давностью лет не помню. Или это на поезд было?

    booking.com тоже интересно поступает — в pdf-документе в начале кроме номера есть еще и пин-код, который разрешает редактирование. Так что если вам бронирование нужно представить, например, в консульство для получения визы, то хоть бритвой вырезай из бумажной копии.

    • belyvoron
      /#18883835 / +3

      авиабилеты вы тоже в консульство предоставляете. И по номеру билета и вашей фамилии его тоже можно редактировать.
      Передавать такие данные, конечно, не секурно, но штука в том, что вы передаёте их не абы кому, а консульству той страны, куда едете. Отменить вам бронь гостиницы? зачем? чтобы вы потом у них в стране бомжевали? Всё, что можно сделать с этой бронью, не входит в их интересы. И наоборот, эти данные необходимы, чтобы легко проверить действительность брони.

      • Andy_U
        /#18884015 / +2

        Если бы прямо в консульство. Те же французы в СПб принимают документы через посредника.

      • maxzhurkin
        /#18884137

        Отсутствие у лишнего получателя мотивации на использование информации не делает его получателем не лишним

      • dom1n1k
        /#18884207 / +7

        Вот это типичная ошибка — забывать, что за каждой системой и организацией всегда стоят обычные людишки. Много людишек, как бы работающих от имени организации, но имеющие личный доступ к данным. И у них может быть тысяча видов личной мотивации — от банального развлечения до вербовки третьих стран.
        Типа, зачем я сдался Гуглу? Зачем я сдался консульству Зимбабве? Как будто консульство Зимбабве это такой монолитный организм, который всегда действует логично и непротиворечиво. Но на самом деле это десятки и сотни разных людей и каждый из них — это потенциальный канал утечки.

    • i7G
      /#18887901

      Офтоп, вы мне напомнили. У меня тоже есть такой старый ящик abc.def@gmail.com, и мне иногда приходила чужая почта (в т.ч. сканы документов), предназначенная для abcdefX@gmail.com. Посмотрите у себя поле to, похоже на такой же случай.

      Кстати, и.м.я.ф.а.м.и.л.и.я@gmail.com == <имя>.<фамилия>@gmail.com

      • Andy_U
        /#18887967

        Про этот фокус в курсе. А той истории уже несколько лет и я тогда от греха стер то письмо нафиг.

  9. decomeron
    /#18883715 / -3

    Бесконечно можно смотреть на три вещи: как горит огонь, как течет вода и на как пишут про Бургер Кинг

  10. gecube
    /#18883725 / +5

    Я бы спрогнозировал другое. Еще неделя хайпа вокруг БургерКинга и других операторов ПД и как бы государство не начало закручивать гайки в сфере интернета дальше. Телеграм заблокировали, впны нужно регистрироваться, веерные блокировки, посадки неугодных блоггеров… что дальше? Рождение Чебурнета? С доступом по заявке в ФСБ?

    • akurilov
      /#18884475 / +1

      Телеграм заблокировали? Опять?

      • gecube
        /#18884771

        Не «опять», а все еще. Через домашний интернет (акадо) — не фурыкает. Через мегафон — тоже. Приходится использовать небезызвестный прокси

  11. GeekberryFinn
    /#18883741 / +6

    Яндекс вновь ищет слишком хорошо!

    А причём тут Яндекс?!
    Не Яндекс ведь эту дыру создал. Нашёл Яндекс — найдёт и любой другой поисковик.

    Jeditobe — скажи честно, ты чё гуманитарий?
    Если нет, то с чего это ты считаешь виновным в утечке поисковик, а не тех кто выложил?!

    • gecube
      /#18883763 / +5

      Согласен, вина яндекса сомнительна. Единственное участие Я здесь может быть, как в случае Гугль и Гугль Хром десяток лет назад, когда браузер «сливал» в поисковик ссылки на страницы для лучшего покрытия интернета поиском. Иногда «утекали» и ссылки на конфиденциальные ресурсы, которые потом из поисковой выдачи оперативно убирались. Но это проблема выкладывания документов по «секретным» ссылкам с неким идентификатором без парольной зашиты или авторизации прльзователя

    • AllexIn
      /#18883771 / +11

      Причему тут Яндекс?
      Намекну встречным вопросом: а как яндекс получил ссылку, которая нигде не была опубликована?

      • Am0ralist
        /#18883785 / +1

        Блин, ну что, никто не может это проверить, отслеживая стринги в реале? И запилить статью?
        Или там такая защищенная система слива инфы, что её не реально ломануть?

        • DracoL1ch
          /#18883809 / +7

          Неоднократно в комментариях писали, что после посещения секретных ссылок через ЯБ вскоре на ту же страницу забегал яндекс бот. В 2015 году уже были замечены прецеденты утечки ссылок как таковых в индекс
          habr.com/post/262695 -> roem.ru/17-07-2015/200620/yandeksbot-hodit-po-privatnym-ssylkam

          • VolCh
            /#18884639 / -2

            Ссылка не может быть секретной.

            • Areso
              /#18884693 / +1

              Но она может быть в закрытом для индексации разделе (robots). Но правила такие правила.

              • niknamezanat
                /#18885469

                Если кто-то мечтает о том, что кто-то будет работать по правилам, которые даже законодательно не закреплены, то я не знаю как этого человека назвать. Хотя да, тут сейчас всякие GDPRы вылазят и всякие прецеденты с Цукербергами в сенате, но это капля в море. Регистрация с подтверждением через телефон, сканы паспортов и прочее и прочее — это и есть корень зла. Надо сразу по ручкам шаловливым бить за злоупотребление требованием с клиентов вот этих самых персональных данных.

    • Jeditobe
      /#18883795 / -1

      Вы просто не умеете в иронию, вот и все. Я не говорил, что Яндекс виноват.

      • Wesha
        /#18884235 / +2

        "Не виноватая я, он сам при перешёл"?

    • lair
      /#18883937 / +6

      Jeditobe — скажи честно, ты чё гуманитарий?

      … а вы по каким-то причинам считаете гуманитариев неспособными к логическим построениям?

      • GeekberryFinn
        /#18884009 / -9

        Считаю не знающими особенностью работы технологий. Гуманитарий всерьёз может считать, что Яндекс способен дать ссылку на нерасшаренные файлы на C:
        Некоторые, даже, когда просят ссылку на файл присылают «ссылку» вида «C:\Мои Документы\Документ.doc»

        • lair
          /#18884011 / +10

          А любой технарь, конечно же, знает особенности работы всех технологий?

        • MTyrz
          /#18884113 / +2

          Это Ларри Уолл. Дипломированный гуманитарий с лингвистическим образованием.
          image

          • olgerdovich
            /#18884131 / +2

            С учетом выразительности фотографии вполне уместно смотрелось бы добавить в текст вашего комментария фразочку-вопрос «а чего добился ты?»

          • Dmitry_Dor
            /#18884199 / +3

            Дипломированный гуманитарий с лингвистическим образованием. Создатель языка Perl.
            [sarcasm on]
            Лингвист, язык создал :-D

            • Oxyd
              /#18884267

              ЧСХ очень хорошо создал.

              • khim
                /#18884365 / +3

                Не «очень хорошо», а «вовремя». Родовые болячки, порождённые именно тем, что автор — лингвист убрали только в Perl6, который, как бы, совсем другой язык.

        • MicroSDA
          /#18884775

          Видели бы вы моих сокурсников, «технарей»…

    • snow_wons
      /#18884799

      Вы таки не поверите, но первый диплом у него это Специалист по защите информации…

  12. x893
    /#18883743

    Мне кажется — это последствия низкой квалицикации на фоне огромного самомнения.
    Это не только к программированию относится.

  13. SevereCloud
    /#18883797

    Еще с 2011 известно
    www.anti-malware.ru/news/2011-07-25/4373

  14. patogenych
    /#18883799

    ezhoping.wordpress.com/2011/07/27/inurl-0-inurl-b-inurl-1-inurl-c
    Статья 2011 года, ничего особо не поменялось.

  15. denis-19
    /#18883821 / +1

    2011 год.
    …в интернет-магазинах, работающих на основе решения WebAsyst, пользователи могут оформлять покупку без обязательной регистрации в магазине, то есть без создания аккаунта с паролем. Как объяснили разработчики, после оформления заказа пользователю отправляется прямая ссылка на страницу с информацией о заказе и его статусе. «Эта ссылка отправляется покупателю на почтовый ящик, после перехода по ссылке пользователю показывается страница с информацией о совершенному заказе, и именно такие страницы и проиндексировал «Яндекс»

  16. jehy
    /#18883927 / +12

    Скриншот фейсбука, на котором пост со скриншотами… Абсолютно нечитаемо.
    Вы пробили дно, которым я всегда считал скриншот в вордовом документе.

    • SemperPeritus
      /#18883991 / +1

      Фотография скриншота скриншотов из поста в фейсбуке?

      • maiketa
        /#18884483

        Фото монитора с фотографией скриншота скриншотов из поста в фейсбуке

        • Inine
          /#18884635

          Осталось только отксерить.

        • Am0ralist
          /#18884637 / +1

          Ох, ну всему учить надо

          Вот как правильно:
          image

          • artemerschow
            /#18885723

            Эту ксерокопию потом по факсу ещё надо не забыть отправить.

  17. Vsevo10d
    /#18884005 / +2

    Бесит, что в статью, которую и так прочитают, надо во имя кликбейтности пихнуть в заголовок БК-word.

  18. Darth_Malok
    /#18884033 / +1

    Извиняюсь за возможно тупой вопрос, но почему строка для поиска выглядит так «странно»?
    Ведь «inurl» — поиск по адресу. Почему именно «inurl:0 inurl:b inurl:1 inurl:c»? Выглядит как заклинание)

    • DistortNeo
      /#18884319

      Если просто вбить «статус заказа», то ничего подобного не найдётся. Поисковые системы ранжируют страницы, в результате будут выданы обычные информационные страницы.
      Дальше задача простая: поломать это ранжирование. Видимо, дополнительные условия его и ломают.

    • lazarenky
      /#18885377

      Секретные ссылки состоят из случайного набора цифр и букв. Думаю, эти параметры добавили для исключения из результатов «неинтересных» страниц со словами «статус заказа» (например, справочных статей).

      Можно изменить конкретные значения, трюк всё ещё будет работать:
      inurl:3 inurl:a inurl:b inurl:4 статус заказа

  19. Sabubu
    /#18884393

    Паспортные данные? Это же прекрасно, можно во всяких яндекс-деньгах получать подтвержденный аккаунт, не рискуя своими данными.

    А если серьезно
    Шучу, конечно. Делать так не стоит. Лучше делать что-то с этим раздолбайским отношением к нашим ПД.

    • molnij
      /#18884411

      Разве? Вроде бы, раньше, когда я еще считал, что ЯД можно пользоваться, все пути валидации приводили к необходимости предъявлять настоящий паспорт тем или иным путём

      • dartraiden
        /#18884437

        Нет, требуют только ввести паспортные данные. В текстовом виде.

        • molnij
          /#18884465 / +1

          ого, то есть последущую верификацию через офис или contact или что-то там еще отменили?

          • dartraiden
            /#18884815



            Для «именного» кошелька хватает как раз тех самых паспортных данных в текстовом виде.

            • molnij
              /#18885587

              Повторюсь, не знаю, как там сейчас на самом деле, но если верить их же документации yandex.ru/support/money/identification/upgrade.html, то просто указанием паспортных данных в текстовом виде дело не ограничится…

              • DarkByte
                /#18886417

                Недавно пришёл перевод на не подтверждённый аккаунт, для его получения яндекс попросил ввести паспортные данные. После их ввода прошло несколько часов «подтверждения» и написали что всё ок, деньги зачислены.

              • dartraiden
                /#18887203

                Всё верно, это третий уровень со скриншота, где требуется личное присутствие или идентификация через Сбербанк. А первые два личного присутствия не требуют.

        • Sabubu
          /#18884559

          Сканы документов (утекающие из всяких контор займов) довольно за недорого продаются на черном рынке. В общем, как всегда, вся эта система только доставляет неудобства законопослушным гражданам и обходится не-законопослушными.

  20. purrrminator
    /#18884499 / -6

    Зачем вы опубликовали это? Вы не чувствуете ответственность и вину в том, что большее количество людей из-за вас будет подвержено опасности? «Смотрите-смотрите, что я нашел! Какой я классный!»

    • vikarti
      /#18884587

      А уж как за саморекламой те кто нашли Meltdown/Spectre или (что ближе) Heartbleed гнались то, не думали о тех, кто будет подвержден из-за них опасности.

    • pyrk2142
      /#18884625 / +3

      Вообще, люди подвержены опасности не из-за того, что кто-то опубликовал информацию об уязвимости и проблеме, а из-за того, что эта уязвимость есть. Публикации иногда приводят к закрытию уязвимостей, что довольно хорошо.

      А вообще, я предлагаю исходить из достаточно простого принципа «Хакер уже знает»: если кто-то нашел уязвимость (при этом она не какая-то абсолютно новая, уникальная, очень сложная или крайне неочевидная), то с достаточно большой вероятностью какие-то злоумышленники или уже знают о ней, или легко узнают, если будут копаться в этом сервисе. Поэтому защита чьих-то данных через отказ от публикации информации об уязвимостях не работает, так как скрывает возможную утечку от пользователей, но не от профессиональных злоумышленников.

  21. TigerClaw
    /#18884581

    Эта дыра старая несколько лет назад тут же развлекались просматривая заказы в секс-шопе.

  22. ilya_pu
    /#18884925

    Каким был поисковый запрос, выдавший такие результаты? Пока не повторю сей опыт сам — не поверю (хотя бы потому, что какие-то данные вполне могут храниться на моём компьютере, и следовательно — если я покупал билеты, базовую информацию про них можно вытащить из кеша, а не с сайта, а коллекция скриншотов — тоже не может служить подтверждением сливу информации в полной мере)

    • Pinsky
      /#18885051

      В DuckDuckGo получил информацию о покупателях билетов на автобусные рейсы и на самолет по запросу: «inurl:order информация о пассажире»

      • ilya_pu
        /#18887773 / +1

        Слив информации обо мне НЕ подтверждаю, искал по-всякому (хотя мы с женой и покупали билеты и на поезд, и на самолёт — если скриншот под заголовком статьи не врёт, то тот же сайт РЖД тоже оказался скомпрометирован?).
        P.S. Всё равно, даже несмотря на то, что конкретно в моём случае слива информации не было, предупреждён — значит вооружён…
        P.P.S. Возможно, нужно меньше доверять сайтам-интеграторам?

  23. slavait
    /#18885005

    А вы забыли, что живете в России. Кому что доказать хотите?
    Мы и так давно знаем, что нас «шмонают» при каждом включении телефона или компьютера.
    Если в суда себя защитить нельзя, а там нельзя! То что делать?
    Даже верховный суд по сотню раз отвечает одними и теми же ответами, а судьи продолжают подобные дела рассматривать на свое усмотрение не обращая внимание, на то что издал верховный суд.
    Если суд начался, то жаловаться вообще куда либо смысла нет, «независимый» орган может делать, что вздумается. Любой чиновник отъезжает — решение суда не обсуждается.
    Меня вообще повеселило, когда услышал, что в этой системе вторая черная зарплата в порядке вещей.
    Пока нет рабочего органа по защите того, что написано в законе, вообще о чем либо другом говорить смысла нет.

  24. grims
    /#18885047

    Хорошо что я старовер, и всегда плачу наличкой, и в соцсетях меня нет кроме Хабра.

    • lair
      /#18885131

      всегда плачу наличкой

      Знаете, я вот только что был в паре стран, где в некоторых местах просто нельзя расплатиться наличкой. Одно из таких мест — хороший кабак, еще одно — общественные туалеты на станциях ж/д. А иногда наличкой расплатиться можно, но сдачи не дают (и об этом заранее везде сказано).


      (ну и я так понимаю, через интернет вы никогда ничего не покупаете, да?)

      • Am0ralist
        /#18886251

        (ну и я так понимаю, через интернет вы никогда ничего не покупаете, да?)
        а он не своими!

    • MaxALebedev
      /#18887237

      А на хабре-то вы что делаете?

      • tvr
        /#18887475 / +1

        Ну как что — рассказывает, что не пользуется соцсетями.

  25. OneByte
    /#18885383

    «Никогда такого не было — и вот опять...» (с) В.Черномырдин
    Года три назад, общаясь на одном компьютерном форуме по поводу облаков, я высказал предположение, что всеобщая увлеченность облачными сервисами будет продолжаться до какого-нибудь эпичного слива закрытой информации. Судя по участившимся новостям на эту тему, это время уже не за горами. Все знают преимущества облаков — экономия на «железе», удобнее вести разработку, сопровождение, распространять обновления и новые версии и т.п. Но все это перечеркивает один неприятный факт — данные и сервера находятся где-то далеко, а часто вообще «за океаном у дяди Сэма» и могут оказаться недоступны для использования (или наоборот — оказаться доступны для использования теми, кому не положено) в самый неподходящий момент. Причем недавние новости о неустранимых аппаратных багах процессоров, позволяющих нарушать защиту адресного пространства памяти и влезать в виртуальные машины других процессов серверов не добавляют оптимизма по поводу безопасности облачных сервисов. Приведенный в этой статье очередной слив не предназначенной для широкого распространения информации наводит на мысль о том, что наверное маятнику прогресса уже пора опять качнуться от условных «майнфреймов» в сторону распределенных систем. Ведь устойчивость и безопасность распределенных информационных систем намного выше, что подтверждает безотказное функционирование Интернет на протяжении десятилетий. Меня вот как-то напрягает то, что электронные медицинские карты будут храниться в облаках… это получается, что если вдруг основной и резервный каналы доступа к Интернет какой-либо больницы выйдут из строя, то врачи не смогут запросить медицинскую карту больного?
    Я помню, как в 1998 году более пяти часов стоял у кассы аэропорта Домодедово и не мог купить билет, потому что «упал» центральный сервер системы «Сирена» и кассиры не могли продавать билеты, т.к. не знали, сколько их уже продано на рейс. Продавали места лишь «на подсадку» и самолеты улетали полупустыми весь день. С тех пор прошло двадцать лет и в такую же ситуацию можно попасть с билетами на поезд и на автобус… может быть пора задуматься о надежности этих систем? Тем более, что скоро контроль над ними будет повсеместно передаваться ИИ, т.к. люди уже не могут обрабатывать такие большие объемы информации и принимать правильные решения. В правильном-ли направлении идет прогресс в области развития информационных технологий?

    • Denisio
      /#18885483

      Сейчас все продажи авиабилетов идут через единую систему бронирования и продажи билетов, и сервера находятся не в России. Работает по всему миру и достаточно надежно.

      • Artifeks
        /#18886101

        Это просто РКН пока их не нашел

  26. timur102
    /#18885385

    ссылка
    И этот пост 2011 года. Уже 7 лет уязвимости?

    • Vilgelm
      /#18885447

      Это не то что бы уязвимость, точнее не со стороны Яндекса. Возможно в Webasyst она и закрыта, но есть куча необновленных сайтов (по разным причинам: кто-то пиратку использует, а кто-то не хочет все чинить после обновления).

  27. BobrBobr
    /#18885387

    Ребята, я вам открою секреет почему происходят такие утечки.
    Дело в том, что счётчик Метрики Яндекса, который часто устанавливают владельцы сайтов для статистики, посылает содержимое страниц на серверы яндекса. Это делается якобы для лучшей индексации. Поэтому эти страницы появляются в поиске.

    Метрика Яндекса делает это по умолчанию. Отключается опцией в настройках. По-хорошему их бы наказать за такое, но ни у кого пока руки не дошли.

    • Vilgelm
      /#18885455

      Берем первый попавшийся документ без ПД по ссылке из статьи и пробуем там найти Метрику. Ее нет. Есть Google Analytics, есть li.ru.

      Пробуем найти эту ссылку в Google: ничего не найдено.

      Так что в данном случае не через Метрику слив, хотя она тоже сливает.

    • slavait
      /#18885607

      Меня удивляет с каким рвением многие, без разбора, вешают интеграцию внешних скриптов на свои сайты. По теории вероятности, даже ничтожное событие случается с огромной регулярностью.

      • JobberNet
        /#18885895

        Культ карго же! Сейчас модно делать всё на фреймворках.

      • Artifeks
        /#18886119

        Надо же больше посетителей… любой ценой

  28. advolit
    /#18885389

    Могу на 100% утверждать, что Яндекс и другие ПС точно не причем. Это косяк криворуких разрабов, которые забывают запрещать хотя бы через robots.txt индексацию таких страниц.

    А огромное количество таких доков в индексе лишь подтверждает тот факт, что в России, да и во всем мире, очень мало стоящих разработчиков.

    • Areso
      /#18886383

      Пожалуй заступлюсь за разработчиков, но robots.txt настраивают не они. Админы, DevOps, кто угодно, но не разработчики (если разработчик не выполняет все роли в одном лице, ага, как это тоже бывает — но это явно не про Google).

      • advolit
        /#18887117

        Такие фундаментальные вещи, а конкретно какие технические страницы должны быть исключены из индекса, закрыты в noindex, nofollow, или выдаваться только по хэшу для конкретной сессии, ip, юзерагента и тп, чтобы никаким образом они не попали в индекс поисковиков задача конечно же разработчиков. Имхо

  29. gospodinputin
    /#18885391

    Яндекс это команда профессионалов высочайщего уровня, лол.

  30. synka
    /#18886399

    На радикале, в разделе мобильная галерея, среди фоток ребятишек и собак, два года назад, можно было найти фотографии паспортов, или фейса хозяина с паспортом. Я так понимаю, что это юные закладчики подтверждали личность дилерам. Там же можно было найти скриншоты переписок на тему кладоискательства.

    • pyrk2142
      /#18887715

      Есть пара довольно известных фотохостингов, у которых адрес изображения — это что-то вроде site.ru/img[id].jpg, где id — это номер изображения в базе. Фактически, можно получить доступ ко всем изображениям, среди которых есть много чего интересного.

  31. oCeHb
    /#18887059

    А ещё оно восстановление паролей индексирует

  32. DeXVinogradov
    /#18887065

    Только думал начать пользоваться Я.Браузером. Работает то не плохо. Удобный, шустрый, но такие моменты это уже слишком.
    Скриншот. Думаю человек бы не сильно был рад узнав, что другие могут посмотреть что он заказывает.

    Понимаю, что косяк то больше разработчиков сайта, но Яндекс этим пользуется.

  33. teecat
    /#18887497 / -1

    Что все так привязались к Яндексу? Заходим в Google, вбиваем простейший запрос «filetype:pdf „для служебного пользования“ » и достаточно быстро находим искомое. Подозреваю, что и в остальных браузерах будет все аналогично

  34. saipr
    /#18888817

    Павел Медведев обнаружил новую утечку документов граждан РФ на множестве сайтов, в том числе в доменах Сбербанка и других, через поисковые запросы к Яндексу. Яндекс — найдётся всё (и ваши паспорта тоже)!

    А то Бургер, Бургер!

  35. grims
    /#18889115

    Граждане, что ж это происходит, мало-мальски модернизировав запрос можно такие вещи найти, что дурно ставиться.

    Заголовок спойлера
    image
    image

    • pyrk2142
      /#18889481

      Ох, вы ещё в Инстаграме не искали :) Если удачно сформулировать запрос или искать по правильным тегам, то можно найти кучу интересного и конфиденциального

  36. tetetetetetetett
    /#18892133

    Мдаа… И заказы с закладками тут…
    Куда писать кстати если такое вижу?)

    Скриншот и запрещенные штуки