BugTraq.Ru
Русский BugTraq
https://bugtraq.ru/rsn/archive/2011/07/12.html

Яндекс продолжает искать все
dl // 25.07.11 22:10
Не успели улечься страсти с Мегафоном, как Яндекс преподнес еще один подарок пользователям и сайтовладельцам.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2011/07/12.html]
На этот раз, судя по всему, под раздачу попали интернет-магазины, использующие движок Shop-Script, в функциях которого предусмотрен просмотр данных заказа по специальной ссылке без авторизации.

Яндекс, конечно, может и дальше рассказывать про отсутствующий robots.txt, но на сей раз утекла значительно более серьезная информация - от имен и координат получателей до состава заказов, в том числе достаточно специфичных. И очень отдельный вопрос, на кого начнут катить бочку разгневанные граждане - на ротозеев в магазинах, или на сервис, на автомате сглотнувший и пережевавший всю их подноготную.

Кстати, это только мне кажется, что обе громкие утечки идеально совпали по времени с прохождением поправок к нежно всеми любимому закону 152-ФЗ, которое, как я понимаю, вышло на финишную прямую?

Источник: Roem.ru, Lenta.Ru    
теги: leak  |  предложить новость  |  обсудить  |  все отзывы (11) [5616]
назад «  » вперед

аналогичные материалы
Утечка сертификатов GitHub Desktop и Atom // 31.01.23 21:59
Очередной взлом LastPass: все хуже, чем казалось // 26.12.22 17:26
Dropbox посеял 130 репозиториев // 02.11.22 02:34
Крупнейшая утечка из облачного хранилища Microsoft // 20.10.22 22:59
Крупный взлом GoDaddy // 23.11.21 20:52
Have I Been Pwned начнёт получать скомпрометированные пароли от ФБР // 29.05.21 16:46
Крупного кибербезопасника FireEye обокрали «крайне изощренные хакеры» // 09.12.20 04:52
 
последние новости
Microsoft обещает радикально усилить безопасность Windows в следующем году // 19.11.24 17:09
Ядро Linux избавляется от российских мейнтейнеров // 23.10.24 23:10
20 лет Ubuntu // 20.10.24 19:11
Tailscale окончательно забанила российские адреса // 02.10.24 18:54
Прекращение работы антивируса Касперского в США // 30.09.24 17:30
Microsoft Authenticator теряет пользовательские аккаунты // 05.08.24 22:21
Облачнолазурное // 31.07.24 17:34

Комментарии:

с какого перепугу криворукие админы дают в паблик без... 26.07.11 17:36  
Автор: f-x Статус: Незарегистрированный пользователь
<"чистая" ссылка>
с какого перепугу криворукие админы дают в паблик без авторизации инфу о покупках? стрелять из автоматов.
админы тут не причем. виноваты криворукие веб-разработчики 26.07.11 21:33  
Автор: Den <Денис Т.> Статус: The Elderman
<"чистая" ссылка>
А почему поисковик должен индексировать выборочно? И так уже... 26.07.11 10:55  
Автор: Winer <Виктор С.> Статус: Member
<"чистая" ссылка>
А почему поисковик должен индексировать выборочно? И так уже есть костыль в виде robots.txt. Рецепт-то простой - не делать кривые решения, отдающие в паблик то, что не должно там быть.
"Яндекс" рассказал вебмастерам о способах защиты личных данных пользователей ) 26.07.11 15:24  
Автор: Fighter <Vladimir> Статус: Elderman
<"чистая" ссылка>
Рассказ предназначен для людей, которые занимаются разработкой и поддержкой сайтов:
http://lenta.ru/news/2011/07/26/explain/
Можно было ограничится простым "Включайте мозг и не... 26.07.11 15:29  
Автор: Winer <Виктор С.> Статус: Member
Отредактировано 26.07.11 15:31  Количество правок: 1
<"чистая" ссылка>
> Рассказ предназначен для людей, которые занимаются
> разработкой и поддержкой сайтов:
> http://lenta.ru/news/2011/07/26/explain/
Можно было ограничиться простым "Включайте мозг и не выкладывайте приватные данные в паблик".
Нельзя, это же не разговор на форуме, а официальная отмазка. 26.07.11 19:51  
Автор: Fighter <Vladimir> Статус: Elderman
Отредактировано 26.07.11 19:55  Количество правок: 1
<"чистая" ссылка>
Но, боюсь, она им не поможет. Готов поспорить, что в данном случае все гораздо серьезнее и утечка произошла не через обычных поисковых роботов, а через почтовые сервисы или/и я.бар. Я когда-то на заказ делал магазин с функцией оповещения состояния заказа: при изменении состояния отправлялось письмо с текущим состоянием и ссылка, по которой можно было это состояние отслеживать. Т.к. на эту страницу попасть можно было только по этой ссылке либо через защищенную зону, заказчик решил, что в данном случае авторизация не нужна и на этом настаивал. Устав спорить с дураком, я сделал почти как он хотел: по ссылке можно было увидеть только номер заказа и его текущее состояние. Но, подчеркиваю, что простым роботам попасть на эту страницу было было невозможно.

Вот, кстати, типичный запрос к магазину из проиндексированных: aaa.bbb/index.php?ukey=order_status&orderID=12757&code=Y2hlbW92b2xlZ0BtYWlsLnJ1&hash=f253ea88311ceb3229ea115226c49287
Ну да, одно из предположений - всякие *.бары. Но я уверен,... 26.07.11 22:27  
Автор: Winer <Виктор С.> Статус: Member
<"чистая" ссылка>
Ну да, одно из предположений - всякие *.бары. Но я уверен, что их EULA мало кто читал, подавляющее большинство нажало "Согласен", а теперь получило попаболь(некоторые так в прямом смысле, как широко теперь известный краснодарец:))
Да, чувак пропиарился на весь мир)) 26.07.11 23:12  
Автор: Fighter <Vladimir> Статус: Elderman
<"чистая" ссылка>
Ну да, а с учётом того, что яндекс не так давно ушёл на IPO - можно собрать неплохой инструмент влияния на курс акций - наши пацаны это хорошо умеют 26.07.11 10:42  
Автор: Ustin <Ustin> Статус: Elderman
Отредактировано 26.07.11 10:46  Количество правок: 1
<"чистая" ссылка>
Даже несмотря на то, что тут "засветились" все - в среднем мозге всё равно возможное прижатие яндекса будет иметь причину
Ну и опять, при чем тут яндекс? Без авторизации в интернет =... 25.07.11 23:14  
Автор: Nicetas Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Ну и опять, при чем тут яндекс? Без авторизации в интернет = публично.
Да, в общем-то, ни причем. Но он засветился с Мегафоном, и... 26.07.11 00:35  
Автор: Fighter <Vladimir> Статус: Elderman
<"чистая" ссылка>
Не только Яндекс выдает секреты покупок, другие монстры тоже засветились:
http://lenta.ru/news/2011/07/25/eshops1/
<добавить комментарий>





  Copyright © 2001-2024 Dmitry Leonov Design: Vadim Derkach