Яндекс продолжает находить всё

В поисковой выдаче Яндекс и Google обнаружились новые, не предназначенные для чужих глаз страницы. На этот раз — это бланки электронных ЖД-билетов, купленные через сайт RailwayTicket.ru.
 Найдётся всё и даже больше
Интернет-сообщество, взбудораженное недавними скандалами с появлением в результатах поиска смс-переписки пользователей "Мегафона" и истории заказов посетителей секс-шопов, продолжает находить всё новую персональную информацию в Яндексе. Мы только рассказали о возмутительной ситуации с публикацией личных данных клиентов страховых компаний, как случилось новое ЧП.
На этот раз в публичном доступе обнаружили бланки электронных ЖД-билетов, которые были куплены через сайт RailwayTicket.ru. В результатах поиска оказались страницы, с которых эти бланки распечатывались покупателями.

Что попало в сеть
На проиндексированных поисковиками страницах расположены бланки электронных билетов, которые содержат всю информацию о поездке, полные имена всех пассажиров и частично зашифрованный номер документа (вида ПН******1234). С помощью этих бланков покупатели могут получить сам билет в кассах РЖД или терминалах самообслуживания. Для этого необходимо предъявить удостоверение личности одного из пассажиров, а для получения в терминале — всего лишь ввести его номер.

Компьютерщики сделали глупость
Владельцы RailwayTicket.ru оперативно запретили поисковикам индексировать эти страницы с бланками. Потом компьютерщики вместо того, чтобы убрать страницы из доступа, просто их переименовали. Сейчас файлы попрежнему доступны по прямой ссылке и без регистрации, но по измененному адресу. Узнать новый адрес страниц опытный интернет-пользователь сможет без особых трудностей. Кроме того, и в Google, и в Яндексе эта информация всё ещё доступна в виде сохранённых копий. Сейчас сайт RailwayTicket.ru работает с перебоями, а система заказа билетов не работает вообще.

Подход к безопасности
Точно такие же бланки получают те, кто покупает билеты через сайт РЖД. Но войти на страницу с бланком на сайте РЖД можно, только после входа под личным паролем, поэтому поисковые роботы не могут на них попасть. На сайте RailwayTicket без регистрации и входа на сайт сделать и оплатить заказ невозможно, зато выдача «товара» происходит на публичной странице, на которую может зайти любой, зная её адрес.

Почему находится всё
Именно под таким заголовком этой ночью в блоге Яндекса была опубликована запись специалиста по информационной безопасности компании. Суть сообщения простая: поисковые системы (и не только они) имеют десятки разных способов узнать о появлении новой страницы, поэтому доступ к закрытой персональной информации должен быть максимально ограничен, и сделать это не сложно. Судя по количеству и скорости появления сообщений о подобных инцидентах, для многих владельцев сайтов необходимость защиты персональных данных посетителей стала сюрпризом. А значит сегодняшние два скандала будут далеко не последними.