На днях специалист по поисковой оптимизации Павел Медведев на фоне скандала с Google Docs решил проверить, как обстоят дела с информационной безопасностью в отечественных структурах. Оказалось, что по простейшим поисковым запросам можно получить самые что ни на есть персональные данные. Но если раньше этим страдали мелкие интернет-магазины, то сегодня попались Дептранс Москвы, агрегаторы авиабилетов и всеми любимый Сбербанк.
Как так получилось? Как выяснилось, специалисты Сбербанка неправильно настроили простейший файл robots.txt, в котором содержатся команды поисковым системам, что индексировать, а что нет. С другой стороны, чтобы облегчить доступ клиентам, доупрощались до крайне ненадёжной системы. Чтобы не запоминать или не записывать сложные пароли, в Сбере внедрили длинные ссылки с уникальными адресами.
Работает это так: вам приходит приватная ссылка на доступ к персональным данным, личным кабинетам и т.п. Она очень длинная, перебором её не подобрать. Но никто не предупреждал, что этой ссылкой нельзя делиться. Вот часть клиентов и делится. На форуме, в сообщениях, публикует без злого умысла. В результате поиск видит, что есть целый поддомен с большим количеством открытых ссылок. И бросает усилия на индексацию этого поддомена, так как запрет не указан в robots.txt. И эти открытые по вине специалистов банка данные попадают в Сеть.
Самый цирк начался, когда Сбер стал утверждать, что банковская тайна не пострадала и опасаться нечего. Я, конечно, всё понимаю, но, похоже, у нас какое-то разное определение банковской тайны. Данные о том, кто, куда, сколько и когда платил — это же банковская тайна? А тут доступ к персональным данным. И даже возможность их изменения.
Фото: www.globallookpress.com
Вместо того чтобы признать ошибку, спецы из банка начали сыпать банальностями. "Киберпреступность в первую очередь ассоциируют с хакерами и взломом ИТ-систем. Но на самом деле, взламывают чаще не машину, а человека. Четыре из пяти попыток мошенничества, которые фиксируется в Сбербанке, приходится на так называемую социальную инженерию", — рассказали в банке.
Это к вопросу зафиксированных попыток. А что, если окажется, что количество зафиксированных попыток взлома не равно 100% от их общего числа? На самом деле это именно так. Тогда может оказаться, что и сам Сбер пропускает подобные атаки. К тому же даже в агрессивной среде Андроида компания что-то пыталась делать, устанавливать вместе с приложением Сбербанка тот же антивирус. Но, похоже, это не особо помогло.
Также спецы из Сбера советуют не проводить транзакции через публичные беспроводные сети, ставить антивирусы на компьютеры и смартфоны, внимательно читать почту, чтобы не нарваться на фишинг (по их данным, каждое третье такое письмо, минимум, открывается).
Безусловно, это нужно соблюдать. Но почему вы умолчали о главной дыре в безопасности? Называется она "запрет передоверенности". Самое уязвимое место сегодня в информационной безопасности — это сим-карта. Дело в том, что на эти SMS из банка завязано всё. Стоит только получить доступ к симке, и можно уводить деньги со счёта. С точки зрения банка это будет полностью легальная операция. Сим-карта же на тебя оформлена, ты ей и пользовался. А если не ты — сам виноват.
Такой нехитрой формулировкой и пользуются мошенники. С помощью нечистых на руку и другие части тела сотрудников сотовых операторов, особенно в ритейле, по фальшивым доверенностям сим-карты клиентов перевыпускаются без их ведома. В результате клиент обнаруживает, что связи нет, сим-карта заблокирована, а деньги уплыли на чей-то счёт. В банке же заявят, что вы сами "прокололись", и нужно расследование. Поэтому запрет передоверенности на сим-карту — первейшая необходимость. Но даже это не убережёт клиента на 100%. Ведь от криворуких оптимизаторов не спасёт никакой антивирус.
Фото: www.globallookpress.com
Что же тогда делать бизнесу, разработчикам сайтов и сервисов? Во-первых, любые данные закрывать максимально за авторизацией. Простейший, но пароль. И раздавать пароль пользователям сразу, генерируя относительно короткие, но безопасные пароли. Пользователи за вас этого не сделают. Во-вторых, запрещать поисковикам индексировать любую конфиденциальную информацию и проверять это. Достаточно простая история, но она требует того, чтобы в ней один раз разобраться и проверять регулярно, на всех поисковиках это работает.
А то вдруг окажется, как в случае со Сбербанком, что специалисты компании совершили ошибку, из-за которой персональные данные наших сограждан попали, например, в США. И в-третьих, пристальнее смотреть за поисковой оптимизацией. Она на месте не стоит, поэтому придётся уделять ей время.
Свежие комментарии