Вчера пресса сообщила об инциденте с «рассекречиванием» данных о покупателях некоторых интернет-магазинов. Проанализировав поисковую выдачу и собрав большую выбоку могу заявить следующее:
1. Львиная доля появившихся в поисковой выдаче заказов региональные.
2. Почти все представленные сайты сделаны на системе Shop-Script.
3. На всех сайтах стояла Яндекс.Метрика (несколько сайтов из сотни успели убрать, но в кэше выдачи остались).
4. Ссылки на страницы поисковой выдачи не могли попасть в открытый доступ случайно, так как в каждом урле есть хэш и закодированный емэйл.
А теперь механика произошедшего:
В Shop-Scripte есть встроенный сервис проверки статуса заказа. Статус можно посмотреть по прямой секретной ссылке, которая высылается покупателю и зайдя по ней можно увидеть статус заказа без авторизации. Такие письма вам могут присылать службы рассылки, другие магазины, какие угодно сервисы, допустим Фейсбук, да даже МойКруг самого Яндекса так делает.
Человеку сделавшему заказ из региона особенно интересно узнать что происходит с его заказом, и он нажимает на эту ссылку, по которой собственно видит перечень своих покупок и собственные данные. С одной стороны удобно, с другой избыток этих данных и сыграл злую шутку.
Попадая на сайт по не существующей для внешнего мира ссылке ее как раз и ловит Яндекс.Метрика. Увидев новую ссылку Яндекс задорно добавляет ее к себе в базу вместе с содержимым страницы. Дальше это всплывает в поисковой выдаче и попадает в СМИ.
Выводы:
— правильность настройки robots.txt в данном случае спорна, т.к. Яндекс.Метрика собирает больше информации, чем публично задокументировано
— в следующий раз может всплыть что угодно, счетчик Метрики вполне может видеть и передавать (!) любые ваши персональные данные, в т.ч. номера кредиток и прочего, не обязательно сознательно, злоумышленникам достаточно сформировать правильный запрос в поисковике
— не меньшую угрозу представляет Яндекс.Бар вашего браузера
— некоторые журналисты в желании опубликовать горяченькое проявили себя идиотами, не сильно от них отстали их «эксперты»