Интернет развивается настолько стремительно, что даже крупные компании частенько попадают в нелепые ситуации. Чуть больше недели назад в сети обнаружили серьёзную проблему с поисковой системой Яндекс, которая индексировала Google Doc и выдавала личные данные, пароли, разнообразные документы для внутреннего использования. Буря только утихла, как отечественного поискового гиганта вновь настигла неудача. Правда, в этот раз уязвимость намного опаснее — получить доступ к личной информации пользователей может буквально любой желающий, для этого вовсе не нужно быть крутым хакером. Достаточно иметь интернет.
Для доступа к секретным личным данным пользователей нужно лишь ввести в поисковую строку Яндекс inurl:0 inurl:b inurl:1 inurl:c и сам запрос. Например, таким образом можно получить полные данные о заказе еды на дом — номер телефона, адрес, номер заказа, сумму к оплате и так далее. Вроде ничего страшного, вот только аналогичным образом можно добыть также сканы документов (паспорта, страховки), электронную копию билета на самолёт или поезд, посмотреть платежи в Сбербанке и всё в таком духе. Некоторые сайты хранят информацию даже о кредитных картах.
Полученные таким образом данные являются настоящим кладезем для мошенников, ведь у них будет такая база защищённой информации, что даже страшно представить. Это вам не запись экрана в приложении Burger King. Самое смешное, что аналогичная проблема у Яндекса была ещё в 2011 году. Точно такой же запрос позволял открыть доступ к индексируемым личным данным пользователей. Вероятно, тогда дыру в движке Webasyst ShopScript3 закрыли, а теперь она опять образовалась. Как скоро Яндекс исправит ситуацию пока не ясно, но оперативность компании хромает на обе ноги — способ «взлома» опубликовали ещё 12 июля, но он до сих пор отлично работает.