• Журнал «Новости торговли»
  • Регистрация   Вход
    • Вы можете авторизоваться, используя имя пользователя или адрес электронной почты.
    В поле "Пароль" учитывается регистр.
Темы:

БЛОГИ. Наедине со всеми. Утечка данных покупателей онлайн-магазинов

27 Июля 2011
0 комментариев

Автор — TorgRus

Метки

Утечка данных покупателей интернет-магазинов в интернет. Комментарии в блогах:

- "Заскриншотил кеш яндекса с персональными данными покупателей секс-шопа.Тут тебе и адрес и ФИО и кто что покупал.Посмотрел с десяток ордеров,чека меньше 2000 нет, основные покупатели девушки,мужчин мало.Покупают в основном ролевые костюмы".

- "Всю ночь анализировал поисковую выдачу и собрав большую выбоку могу заявить следующее:

1. Львиная доля появившихся в поисковой выдаче заказов региональные.
2. Почти все представленные сайты сделаны на системе Shop-Script.
3. На всех сайтах стояла Яндекс.Метрика (несколько сайтов из сотни успели убрать, но в кэше выдачи остались).
4. Ссылки на страницы поисковой выдачи не могли попасть в открытый доступ случайно, так как в каждом урле есть хэш и закодированный емэйл.

А теперь механика произошедшего:

В Shop-Scripte есть встроенный сервис проверки статуса заказа. Статус можно посмотреть по прямой секретной ссылке, которая высылается покупателю и зайдя по ней можно увидеть статус заказа без авторизации. Такие письма вам могут присылать службы рассылки, другие магазины, какие угодно сервисы, допустим Фейсбук, да даже МойКруг самого Яндекса так делает.
Человеку сделавшему заказ из региона особенно интересно узнать что происходит с его заказом, и он нажимает на эту ссылку, по которой собственно видит перечень своих покупок и собственные данные. С одной стороны удобно, с другой избыток этих данных и сыграл злую шутку.
Попадая на сайт по не существующей для внешнего мира ссылке ее как раз и ловит Яндекс.Метрика. Увидев новую ссылку Яндекс задорно добавляет ее к себе в базу вместе с содержимым страницы. Дальше это всплывает в поисковой выдаче и попадает в СМИ.

Выводы:
- правильность настройки robots.txt в данном случае спорна, т.к. Яндекс.Метрика собирает больше информации, чем публично задокументировано
- в следующий раз может всплыть что угодно, счетчик Метрики вполне может видеть и передавать (!) любые ваши персональные данные, в т.ч. номера кредиток и прочего, не обязательно сознательно, злоумышленникам достаточно сформировать правильный запрос в поисковике
- не меньшую угрозу представляет Яндекс.Бар вашего браузера
- некоторые журналисты в желании опубликовать горяченькое проявили себя идиотами, не сильно от них отстали их "эксперты""

- "Заработал новый сервис от Яндекса: Яндекс-Палево".

- "данные пользователей интернет-магазинов попали в сеть" ну есстесно же, мать вашу! Долбанутый эксперт в качестве примера при обсуждении ситуации с смс-сервисом мегафона, приводит схему как вытащить данные из интернет-магазина через роботс.тхт. Это Россия, идиоты! Если вы выкопали ход в банковское хранилище и показали его всем, нужно быть последним дегенератом, чтобы поверить, что им никто не воспользуется!"

- "Даже если человек купил килограмм картошки в интернет-магазине, то это его личная жизнь и никто не вправе публиковать эти данные для всеобщего обозрения".

- "Разразился тут известный скандал с информацией о клиентах секс-шопов в Яндексе.
Решил я сам проверить, удастся ли мне найти ещё такую же информацию. Я провёл в Яндексе ровно пять минут и уже натолкнулся на ещё один секс-шоп, где вся информация о клиентах открыта.
Тут видно, что некто Руслан из Краснодара заказал себе анальное украшение красное.
Причём там есть и почтовый идентификатор и всё.

Объяснения руководства Яндекса, что виноваты веб-мастера сайтов, выглядят смешно. Сейчас столько платформ для открытия интернет-магазинов, как платных так и бесплатных, что достаточно просто уметь читать и писать, чтобы открыть свой магазин в он-лайне.
Сейчас вспоминаю три интернет-магазина, владельцев которых я знаю, и могу совершенно точно сказать, что их владельцам вообще никакие протоколы не знакомы. О каких-то robots.txt или что-то в этом роде, которыми надо закрывать данные, они и слыхом не слыхивали. Люди просто открылись он-лайн и работают, не зная о каких-то тонкостях системы.

Понятно, что, наверное, Яндекс не может отвечать за всю информацию, выуженную его роботами, но и не надо устраивать цирк списывая всё на каких-то веб-мастеров, которые есть, возможно, лишь в самых крупных он-лайн магазинах, типа Озона, какого-нибудь. А в остальных миллионах интернет-магазинах, о таком слове, как веб-мастер и слыхом не слыхивали. И как же тогда людям прикажете данные их клиентов закрывать?"

- "Накануне в «Яндекс», Google, Mail.ru и Bing попала база данных клиентов российских и украинских онлайн-магазинов, в том числе секс-шопов. В открытом доступе оказались данные покупателей десятков интернет-магазинов: их фамилии, контактные данные, IP-адреса и списки покупок."

"При этом в первую очередь поисковик выдает клиентов Sexyz.ru. В секс-шопе сообщили, что знают об этом и в настоящее время делать заказы не рекомендуют, так как у них возникли «небольшие проблемы», над устранением которых работают программисты"

Ахахаха, вот к чему приводит скупердяйство владельцев, а наняли бы нормальных вебмастеров или сеошников, все бы было в ажуре.
Вот Мегафон обещал компенсировать свои косяки всяческими пакетами услуг, а как будут выкручиваться владельцы сексшопов ? =)) Вторую надувную куклу в подарок будут предлагать?!

"В случае с нынешним появлением в поисковых системах данных клиентов онлайн-магазинов, замечает издание Cnews, файлы robots.txt хотя и существуют, но составлены некорректно: в них отсутствуют строки, запрещающие индексацию страниц с персональными данными."

Ах, Яндекс, ах пупсик...то нормальные страницы-то не мог проиндексировать, считая их сортировками, а теперь все подряд кушает умничка"

- "Яндекс такой яндекс

вот и покупай теперь через инторнет :("

- "Яндекс дает четыре странички с данными заказов, покупатели - в основном, девушки. 100% емейлов зарегистрированы на mail.ru/yandex.ru, не составляет труда просмотреть фотографии на http://foto.mail.ru/mail/%username%/ (вместо mail ставим inbox или bk, если мыло не в домене mail.ru), у яндекса фотокарточки на http://fotki.yandex.ru/users/%username%/
Просмотрел девушек - вполне себе милые девчонки, в большинстве своем живущие далеко-далёко от "нерезиновой" и "поребриков", оно и понятно, это мы, мажоры, можем лихо выбирать одежду, и всякие такие игрушки, остальным 80% жителям России более плодотворно выбирать в интернетах. Правда, такие вот "утечки" серьезно подорвут доверие граждан к интернет-покупкам.

Что удивило, - метод оплаты, в подавляющем числе случаев - по квитанции на р/с магазина. Не очень у нас развиты, похоже, электронные платежи, и это печально. Зато деньги на кредитках сохраннее будут".

- "Внезапно обнаружилась ещё одна утечка персональной информации, которую повесили на Яндекс. До этого были смс Мегафона, теперь – данные о покупках в интернет-магазинах. Правда, оказалось, что выдаёт эти данные не только Яндекс, но и Гугл, и другие поисковики. Однако собак вешают всё равно на Яндекс. На фоне Яндекса никто не замечает, что доступны частные видеоролики на Facebook. Мне ближе точка зрения, что кто-то хочет купить акции Яндекса подешевле".

- "Тут вот везде стали писать и по радио передавать известие о том, что в Яндекс попали данные об интернет магазинах, а конкретно о покупателях- с составами заказов, фамилиями и адресами.Сразу все стали шуметь и обсуждать- как такое могло приключиться, что за бардак и все в таком духе.Господа, а что, собственно говоря, случилось?
Во первых, интересно, кому же так важно скрывать свои адреса или фамилии при заказах в интернет магазинах?Я сам частенько заказываю различные вещи через интернет, особенно когда это вещи специфические и крупногабаритные- например, я заказывал по инету ламинат и паркет, стабилизаторы для элекросети и многое другое.Но я лично ума не приложу, какую иформацию,которую каким либо образом можно использовать, можно получить из бланка интернет заказа?Возможно кто то из читателей ЖЖ знает об этом?
Во вторых, если вы заказываете товар в интернет магазине, то вовсе необязательно писать свою настоящую фамилию или имя.Можно написать наспех придуманные данные.У меня есть несколько таких магазинов, я примерно знаю как заполняются заказы и знаю это совершенно точно.Это же как адрес электронной почты получить или блог в ЖЖ зарегистрировать!Исключение составляют клиенты, которые живут в других городах и получают заказы по почте- та надо писать настоящую фамилию и имя.Да и то всегда можно написать адрес "до востребования".
В третьих, при современной жизни в мире информации существует огромное количество различных баз- адресов, телефонов, болезней, гос. номеров автомобилей и если уж захочется на кого то достать компромат подобным образом, то достаточно купить базу адресов и сделать заказ на какую нибудь продукцию в самолично созданном интернет магазине.Будет и бланк заказа и информация, что заказ доставлен!
Особый упор делается на клиентов секс-шопов.Соласен, такие люди как правило скрывают свои покупки, но тут существует масса приемов сохранить инкогнито- написать другие данные, назначить встречу с курьером на улице, приобрести сим-карту для телефона специально для таких случаев и т.д.Мы как то продавали средства для повышения потенции- так сами жутко удивлялись, на какие ухищрения идут люди, чтобы показать, что это нужно вовсе не им, а каким то знакомым, родственникам или друзьям!Порой смешно было- а, по сути, что скрывать то?Ну есть у людей свои проблемы, трудности, недостатки.А у кого их нет?
Я не знаю на что направлена вся эта шумиха вокруг интернет магазинов или обнаруженых СМСок, но такое впечатление, что обычные магазины начали атаку на интернет- дескать не покупайте там ничего, а то про вас все узнают.Вполне логично, учитывая растущую популярность интернет магазинов в последнее время, связанную с небольшими ценами и удобствами последних.Обычные магазины весьма стрессуют по этому поводу.
Так что думаю не стоит осуждать Яндекс за столь незначимые данные, которые попали на страницы поисковика.Ничего страшного не произошло".

- "СМИ, мусоля тему утечек персональных данных и Яндекса настолько невежественны, что просто диву даешься.

Сегодня мне, как оператору и совладельцу ма-а-аленького интернет-магазина позвонила девушка, которая представилась корреспондентом из "Известий".

ОНА: вы в курсе ситуации сложившейся с Яндексом и утечкой персональных данных из интернет-магазинов.

Я: Да, в курсе.

ОНА: Вы можете как-то это прокомментировать?

Я: Могу. Нас и наших клиентов это никак не коснулось.

ОНА: Как же, ведь коснулось.

Я: Откуда вы знаете? Пример можете привести?

ОНА: Да, вот в Гугле вижу персноальное письмо с уведомлением о заказе от (такого-то товарища).

Я: Хм, а как товарища зовут? Какой у него e-mail, особенно после собачки?

ОНА: Александр, asdasd.ru. ......

Пришлось рассказать девушке, что никоим образом наличие в Гугле письма, отправленного на asdasd.ru, не порочит работу Яндекса.

Ох уж наши СМИ.

ИМХО: Яндекс хороший".

Лучшие блоги
Расширение торговых сетей
«Товар года 2012»
Новогодние витрины: удовольствие или обязанность?
Оформление витрин с помощью экранов
Почему инвесторы обходят обувной рынок
Звезды эстрады вручили 63 звезды лучшим товарам
© 2003—2013 TorgRus.com
Ресторанный портал RestoRus.com | Премия «Товар года» Салон «Мир ресторана & отеля» | Саммит «Торговля в России» Национальная Торговая Ассоциация