Negozi online e robots.txt sotto accusa

Numerosi Sms privati sono stati resi pubblici sul web e indicizzati dai motori proprio per "colpa" di un file robots.txt.

[ZEUS News - www.zeusnews.it - 01-08-2011]

Nel corso delle ultime settimane la Russia è stata colpita da due importanti casi di perdita dati. I messaggi di testo Short Message Service (SMS) e le informazioni personali di chi ha ordinato prodotti da negozi online (compresi i sexy shop) in Russia e Ucraina sono diventati visibili a tutti.

Nelle settimane precedenti circa 8.000 SMS privati, inviati dal servizio online della rete mobile russa MegaFon, sono stati indicizzati dai motori di ricerca a causa di un errore umano.

Un security alert diffuso da Websense segnala che il file robots.txt è stato infatti rimosso per errore e che il plug-in del browser del motore di ricerca chiamato Yandex.Bar, l'equivalente della toolbar di Google, ha inviato gli URL delle pagine individuali ai motori di ricerca per l'indicizzazione.

I siti Web non dovrebbero visualizzare le pagine che contengono i dettagli di SMS a persone che non siano i mittenti (utilizzando i cookies ad esempio). In questo caso i progettisti del sito hanno erroneamente presunto che un unico URL fosse sufficiente per garantire la sicurezza.

Il plug-in del browser del motore di ricerca ha trasferito l'unico URL al motore di ricerca e dal momento che avevano rimosso robots.txt, l'unico elemento di sicurezza, questo ha determinato la diffusione dei dati personali.

Assistiamo ad un altro furto di dati sensibili legato ai negozi online elencati in Yandex, Google e negli altri risultati dei principali motori di ricerca.

Anche nel caso di qualche giorno fa il problema è stato causato da un'errata configurazione del robots.txt. Il file non comprendeva, infatti, le istruzioni per evitare che fossero indicizzate le pagine contenenti i dati personali. Le informazioni trapelate sono nomi degli acquirenti, prezzi dei prodotti, indirizzi IP, domicili dei compratori/indirizzi di consegna.

Secondo Digit.ru, una società chiamata webAsyst ha sviluppato un software per creare negozi online. I responsabili della società hanno spiegato che dopo l'acquisto di un prodotto da un negozio online, questo invia un link con lo stato dell'ordine al compratore via e-mail a un sito Web non protetto da password. In questo modo le pagine sono state indicizzate dai motori di ricerca.

A causa di questa perdita di informazioni, il motore di ricerca russo Yandex ha chiesto all'amministratore del sito di controllare le informazioni relative al robots.txt e come sono state utilizzate, in modo da evitare che possa accadere nuovamente in futuro.

Il consiglio con cui Websense conclude il security alert è di proteggere i dati personali dei clienti tramite crittografia o password, per rendere sicuro ogni sito Web che contiene dati personali ed evitare che i robots dei motori di ricerca possono indicizzare le informazioni.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Commenti all'articolo (1)

MaXXX eternal tiare

Scandaloso :roll: In passato mi trovai a comprare una cosa su un sito che usava un metodo simile (link temporaneo che ti porta allo stato dell'ordine) ma è poco sicuro anche se non li fai indicizzare, meglio sempre una pasword d'accesso.
2-8-2011 09:29

Inserisci un commento - anche se NON sei registrato

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.


News(2 commenti) Amazon aggiorna Alexa senza permesso: Alexa Plus imposto in automatico gli abbonati Prime	Sicurezza(9 commenti) La truffa del falso BSOD che convince gli utenti a installare un malware

Segnalazioni(6 commenti)

Windows 11 troppo pieno di IA? Winslop cancella Copilot e le integrazioni nascoste

Sicurezza(7 commenti)

La truffa della falsa scadenza della tessera sanitaria dilaga in Italia

News(5 commenti)

Dopo la multa, Cloudflare minaccia di lasciare l'Italia: il CEO furioso si scaglia contro AGCOM

Sicurezza(2 commenti)

SSD Samsung, falla critica nel software di gestione per Windows: aggiornare subito

E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.

Sondaggio

Quanto impieghi per andare al lavoro? (one-way, ovvero: sola andata)