Олег Антонов Аксакал

Как обезопасить личную информацию в Интернете?

Скандалы с утечкой персональной информации в Интернете в последнее время возникают с завидной регулярностью. Буквально на днях обнаружилось, что в поисковой выдаче «Яндекса» вполне возможно получить информацию о заказах в различных интернет-магазинах, включая секс-шопы. В открытом доступе оказалась полная информация о покупателе, включая фамилию, имя и полный почтовый адрес, а также о содержимом заказа.

Для этого всего лишь достаточно набрать запрос «inurl:0 inurl: b inurl:1 inurl: c статус заказа». Такая страшная абракадабра на самом деле расшифровывается достаточно просто: мы просим найти страницы, содержащие фразу «статус заказа», причем в адресе страницы должны присутствовать символы «0», «b», «1» и «c». Кстати, еще в 2009-м при появлении в языке запросов «Яндекса» оператора «inurl:» эксперты предупреждали, что в первую очередь его преимущества оценят хакеры, которые будут подбирать сайты, использующие однообразные движки с известными уязвимостями.

Вот и в этом случае под раздачу попали клиенты интернет-магазинов, использующих скрипт WebAsyst Shop-Script. Естественно, что крайних в этом деле не найти. Владельцы интернет-магазинов обвиняют «Яндекс» в том, что его роботы суют нос куда не следует. «Яндекс» говорит, что просто делает свое дело, а виноваты владельцы сайтов, не обеспечившие безопасность информации.

Под подозрение попал набор сервисов «Яндекс.Метрика». Якобы все пострадавшие сайты имели на своем борту эту «змею». Разобраться трудно, но тем не менее поисковая система Google, имеющая такой же оператор «inurl:», личную информацию в выдачу не пускает.

Но как бы то ни было, а спасение утопающих — дело рук самих утопающих. И собственное утопление тоже. Пользователи сами во многом облегчают работу злоумышленникам. Например, в результатах поиска по тому самому страшному запросу я обнаружил страницу, которая позволяла человеку проверить состояние своего заказа. Поля «Номер заказа» и «E-mail» были уже заполнены. А для того, чтобы получить детальную информацию, предлагалось авторизоваться — ввести свою фамилию.

Вроде бы неплохо. Но адрес электронной почты выглядел как familiya_imya@mail.ru! Естественно, что после ввода этой самой familiya сайт услужливо распахнул передо мной полную информацию о заказе. Да и при не очень очевидных адресах вида «что-то@mail.ru» легко вычислить фамилию. Достаточно, например, просто провести поиск по этому адресу в интернете или обратиться к социальной сети «Мой мир». Для этого нужно всего лишь в адресе my.mail.ru/mail/xxxxxx/ заменить xxxxxx на это «что-то» из адреса. С большой долей вероятности мы попадем на личную страницу владельца. И это не является взломом, человек сам выложил ее на всеобщее обозрение. А уж на личной странице можно узнать практически все.

Поэтому, регистрируясь в социальных сетях, форумах, интернет-магазинах, помните — вы зачастую раскрываете о себе гораздо больше информации, чем кажется на первый взгляд. И никто не знает, к кому попадет эта информация, и как он ею воспользуется. Например, нет ничего удивительного, что работодатель не возьмет на работу водителя, который на личной странице рассказывает, что не обращает внимания на светофоры, даже если он в жизни так не делает, а просто написал чепуху. Поэтому соблюдение нескольких простых правил просто необходимо:

1. Минимизируйте общение в Интернете. Понятно, что для многих это равносильно совету поменьше дышать. Но и в этом случае можно свести опасность к минимуму.

2. Ограничьте объем личной информации, которая находится в открытом доступе. Используйте псевдонимы и ники, которые не ассоциируются с реальным именем. Особенно важно приучить к этому детей.

3. Используйте несколько адресов электронной почты: отдельно — для деловой и частной переписки, отдельно — открытый адрес (для форумов, интернет-магазинов и так далее). Открытый адрес должен давать минимум информации о владельце.

4. Для разных учетных записей и сервисов следует использовать разные пароли. Если запомнить множество паролей трудно, то можно выработать простое мнемоническое правило. Например, такое: мой пароль — это слово «лопата», затем первые три буквы адреса сайта и цифра, соответствующая длине названия сайта.

Естественно, что все это должно не заменять, а дополнять применение антивирусных программ, файерволов и прочих средств из арсенала технической защиты, которая бессильна, если пользователь сам размещает личную информацию в Сети.

Обновлено 28.07.2011
Статья размещена на сайте 27.07.2011

Комментарии (13):

Чтобы оставить комментарий зарегистрируйтесь или войдите на сайт

Войти через социальные сети:

  • Олег Антонов, как говорили в нашем детстве : "Кто ищет, тот всегда найдёт. Кто хочет, тот всегда добъётся".

    Оценка статьи: 5

  • Олег Антонов, спасибо.

    Оценка статьи: 5

  • Как обезопасить личную информацию в Интернете? - никак!
    Если есть сетевой доступ к инфе, это значит, что в любой момент она может перестать быть вашей.
    Жесткий диск лежащий в сейфе - вот это единственная защита.

  • Олег Антонов, спасибо, статья хороша!

    Оценка статьи: 5

  • Леся Перышко Леся Перышко Дебютант 29 июля 2011 в 09:36 отредактирован 29 июля 2011 в 09:37

    Олег Антонов, вот я всегда думаю, а чем может навредить человеку добровольная публикация личных данных в интернете?
    Если у него нет заклятых врагов, кому тогда нужны эти данные? А если есть серьезные враги, заинтересованные в личной информации, они все равно ее добудут, хоть через инет, хоть еще как-нибудь.

    Оценка статьи: 5

    • Леся Перышко, врагов может и нет, только охочих до разного рода информации множество, как это ни печально. Даже не враг, а какой-то знающий пройдоха может, имея достаточно информации, копнуть глубже и решить человека, вернее аккаунт, ну, например взломать.. Зачем? А зачем пишут вирусы?

      Оценка статьи: 5

  • Олег Антонов, проблема в том, что эти советы не обезопасят от недавних утечек смс-ок Мегафона или данных о покупателях РЖД. И как сделать заказ в секс-шопе, не оставив контактов?

    Оценка статьи: 5

    • Александр Чайка Александр Чайка Дебютант 29 июля 2011 в 02:44 отредактирован 29 июля 2011 в 02:44

      Mike Mike, через саппорт интернет-магазина - почта всегда с характеристикой noindex и недоступна роботам Яндекса, и защищена на законодательном уровне. Если магазин заинтересовал в продажах и там вменяемый менагер - обязательно перезвонят или отпишут.