В связи с возникшим у Яндекса непредвиденного индексирования заказов некоторых интернет магазинов УЖЕ активизировались мошенники. Вот примерное письмо мошеннического содержания: МАГАЗИНЩИКИ, конечно все мы взрослые и неглупые люди, но всё же - НЕ ОБРАЩАЙТЕ ВНИМАНИЕ НА ПОДОБНЫЕ ПИСЬМА и ПРЕДЛОЖЕНИЯ
Пример мошеннического письма:
Маркшейдер (marksheider@gmail.com):
Добрый день, Вероятно, Вы уже в курсе, что скрипт интернет-магазина, который Вы применяете, подвержен утечке информации: доступна информация о заказах, сделанных в магазине, причем доступна всему интернету, при поиске через яндекс с определенными параметрами запроса.
Вот ссылки на новость:
1. http://hitech.newsru.com/article/25jul2011/shopoleak
2. http://www.argumenti.ru/incident/2011/07/117280
3. http://lenta.ru/news/2011/07/25/eshops/
и т.д.
Разумеется, через некоторое время программисты Яндекса прикроют уязвимость со своей стороны (хотя, для них это не уязвимость, а нормальное функционирование поисковой машины, которая индексирует всю доступную ей информацию). Со стороны скрипта интернет-магазина уязвимость останется, а надо заметить, яндекс – не единственный поисковик, так что шанс того, что информация будет общедоступна – сохраняется, а глюк WebAsyst ShopScript, который применяется в Вашем интернет-магазине – сохраняет уязвимость. Не стоит говорить, что репутация интернет-магазина – один из весомых критериев при выборе места для покупки. Предлагаю устранить текущую неполадку в максимально оперативном режиме – в течение завтрашнего дня (26 июля) всего за 250$. Для выполнения работ мне потребуется доступ к сайту. Готов подписать и выслать сканированную версию соглашения о конфиденциальности.
P.S. Я не имею никакого отношения к разработчикам магазина, который вы используете.
Пишите: marksheider@gmail.com
Сергей
Отправлен 02.11.2011 в 13:30
Глюк был у Яндекса, который слишком много себе позволяет.
Статус заказа в вебасисте показывался при переходе по ссылке, в которой в конце приписывался уникальный хэш код. Ссылка эта высылалась покупателю, чтобы он мог отследить свой заказ и его обработку.
Вопрос. Как яндекс узнавал про эту ссылку? А узнавал скорее всего из метрики или из других систем статистики.
Albert Muhutdinov
Отправлен 06.08.2011 в 19:22
Вообще, закрытые адреса в robots не защищены от прямого попадания на них простыми людьми. То есть закрывать в любом случае нужно все на уровне движка. А тут тема такая: если владелец инет-магазина получит то, что в письме, программист выполнит честно свою работу и получит деньги, все останутся довольны. Ну а проблема такого владельца останется лишь в том, что он разбирается не во всех особенностях своего бизнеса.
И к тому же, нет понятия “работа не стоит этих денег” – раз заплачено, значит стоит :) Не защищая этого программиста, высказываю свою точку зрения.
Mirolubow Vladimir
Отправлен 29.07.2011 в 13:12
глюка нет, есть незаполненные роботсы. кстати, у ассиста вышла обнова.
Gallus
Отправлен 27.07.2011 в 11:08
А реально, есть глюк в вебасисте?
Mikhail Sedov
Отправлен 25.07.2011 в 20:55
Ну я бы на месте владельца всё-таки ссылки эти позакрывал, перегенерировал хеши для открытия, выслал обновленные ссылки по незакрытым заказам. Ведь в выдаче яндекса не находятся одновременно имя, емейл, адрес и список покупок, а по ссылке всё как на ладони.
Согласен, работа не стоит 250 уе, даже по самым шикарным тарифам – это около 10 часов работы. Не думаю, что там выйдет больше 15 минут, особенно при таком конвейерном подходе. А с прямыми руками можно и нужно делать и самому.
Mirolubow Vladimir
Отправлен 25.07.2011 в 20:33 | В ответ автору Mikhail Sedov.
человек, имеющий отношение к интернет коммерции, должен разбираться в таких простых вещах. в добавок руководитель интернет магазина.
в горячке выбрасывать 250$ нет смысла, всё равно не поможет ничего, пока яндекс из выдачи не уберет.
а самые интересные ссылки засвечены не только на хабре ;)
Mikhail Sedov
Отправлен 25.07.2011 в 20:24 | В ответ автору Mirolubow Vladimir.
По-правильномунадо людей, разбирающихся что и как делать в Shop-Script (я не про robots.txt, а сам просмотр заказа) попросить написать доходчивый туториал, где шаг за шагом объяснить что можно сделать. Например как разрешить просматривать заказ без пароля только в течение суток, как убрать яндекс.метрику со страницы заказа, как защитить страницу заказа простым сгенерированным пин-кодом, …
Mikhail Sedov
Отправлен 25.07.2011 в 20:17
Представьте себя на месте владельца интернет-магазина, засветившегося в выдаче? Я бы уже поседел, если любой человек мог посмотреть, что клиенту Васе из Урюпинска, пр. Ленина, д.39, кв. 1 отправился страпон. А теперь представьте вам звонит сам Вася. Как вы объясните, что данные перестанут выдаваться яндексом через неделю, когда сайт будет переиндексирован? Как вы объясните, если ссылку на Васин заказ кто-то засветил в тех же комментах на хабре? Надо закрыть просмотр заказов без входа. Я не работал с данным движком, и не знаю убирается эта функциональность в админке, или требуется лезть в пхп. И если требуется – не каждый владелец это сможет сделать. К сожалению уровень компьютерной грамотности горазно ниже, чем вы думаете. Даже robots.txt это уже высшая математика для многих.
Mirolubow Vladimir
Отправлен 25.07.2011 в 20:09 | В ответ автору Mikhail Sedov.
не надо ни на чем зарабатывать, берете robots.txt b и прописываете в disallow: файлы отвечающие за страницы заказа. это не стоит 250$. И не надо давать ПОЛНЫЙ доступ к магазину!
Mikhail Sedov
Отправлен 25.07.2011 в 20:00
Не думаю. Человек просто хочет по-быстрому заработать денег на однотипной работе.
Физическое лицо, оставляя заявку на веб-сайте e-pepper.ru
через форму «Обсудим ваш проект» и форму подписки на e-mail рассылку, действуя свободно, своей волей и в своем интересе,
а также подтверждая свою дееспособность, предоставляет свое согласие на обработку персональных данных
(далее — Согласие) Обществу с ограниченной ответственностью «АЭРОКОМ» (ООО «АЭРОКОМ»)
(ИНН 9705136776, info@aeroidea.ru, +7(495)120-12-38, +7 968 900-23-45),
которому принадлежит веб-сайт https://e-pepper.ru
и которое зарегистрировано по адресу 111024, г. Москва, вн.тер.г.муниципальный округ Лефортово, ул. Авиамоторная, д.50, стр.2, этаж 2, помещ.XI, комната 25, офис А79,
на обработку своих персональных данных со следующими условиями:
Данное Согласие дается на обработку персональных данных, как без использования средств автоматизации, так и с их использованием.
Согласие дается на обработку следующих моих персональных данных: персональные данные, не относящиеся к специальной категории персональных данных или к биометрическим персональным данным: адрес электронной почты (e-mail); имя; сведения о месте работы; номер мобильного телефона.
Цель обработки персональных данных: обсуждение возможного проекта.
В ходе обработки с персональными данными будут совершены следующие действия: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); блокирование; удаление; уничтожение.
Третьи лица, обрабатывающие персональные данные по поручению ООО "Аэроком” для указанной в согласии цели:
АО "АМОЦРМ", 21205, г. Москва, вн.тер.г. Муниципальный Округ Можайский, Тер Сколково Инновационного Центра, б-р Большой, д. 42 стр. 1
ООО "Яндекс", 119021, г. Москва, ул. Льва Толстого, д. 16
Персональные данные обрабатываются в течение 30 дней с момента отказа в дальнейшем обсуждении проекта или с момента принятия решения о заключении договора на проект в соответствии с ч. 4 ст. 21 152-ФЗ, смотря что произойдет раньше.
Согласие может быть отозвано вами или вашим представителем путем направления ООО "Аэроком” письменного заявления или электронного заявления, подписанного согласно законодательству Российской Федерации в области электронной подписи, по адресу, указанному в начале Согласия.
В случае отзыва вами или вашим представителем Согласия ООО "Аэроком” вправе продолжить обработку персональных данных без него при наличии оснований, указанных в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона № 152-ФЗ «О персональных данных» от 27.07.2006 г.
Настоящее согласие действует все время до момента прекращения обработки персональных данных, указанных в п. 6 и п. 7 Согласия.