У понеділок стало відомо, що за допомогою нескладного запиту в популярній пошуковій системі Яндекс ( "Inurl: 0 inurl: b inurl: 1 inurl: c статус замовлення") будь-який бажаючий може в результатах пошуку побачити статуси замовлень, зроблених користувачами в російськомовних інтернет-магазинах, в т.ч. магазинах інтимних товарів.
У числі інших подробиць можна дізнатися ПІБ покупця, його адреса, контактні дані, IP-адреса комп'ютера, з якого реєструвався замовлення, а також дату і час здійснення замовлення. Власне, ніщо не заважає, наприклад, додати в запит ПІБ будь-якої людини і переглянути замовлення, які він здійснював.
Компанія Яндекс, коментуючи дану ситуацію, як і в недавній випадок з витоком текстів СМС-повідомлень , Відправлених з сайту Мегафона, сподівається на неправильне використання власниками інтернет-магазинів файлу robots.txt. Хоча відомо, що не тільки правильне використання цих файлів може захистити клієнтів інтернет-магазинів від витоку приватних даних.
Слід зауважити, що у випадку з витоком текстів СМС-повідомлень пошуковик на "чарівний запит" видавав понад 8 000 результатів. Нова ж витік куди більш серйозна - пошуковик повідомляє про 247 000 результатів.
Також цікаво, що витік стосується, в першу чергу, російськомовних магазинів, тоді як при заміні слів "статус замовлення", наприклад, на "order status", приватної інформації про замовлення не видається. Це може бути пов'язано як з безвідповідальністю власників російських інтернет-магазинів, так і з прив'язкою сервісів компанії Яндекс в першу чергу до російських користувачам.
Аналіз коду сторінок інтернет-магазинів, з яких стався витік приватних даних, показав, що в цих магазинах використовується сервіс з побудови електронного магазину WebAsyst Shop-Script . Найімовірніше, причиною того, що докладна інформація про замовлення потрапила в Мережу, є вразливість даного сервісу, який виявився досить популярним. Головний офіс компанії WebAsyst розташований в Москві, з чого випливає, що основна частина клієнтів компанії розташована на території Росії. Це може пояснювати той факт, що витік піддалися дані саме російськомовних інтернет-магазинів.
Стало відомо, що для доступу до списків замовлень при использовани WebAsyst Shop-Script не потрібно аутентифікація, досить знати лише URL, провідний на детальну інформацію щодо бронювання. Ймовірно, погіршив ситуацію той факт, що багато користувачів встановлюють в інтернет-браузери популярні тулбари за авторством пошукових гігантів, які славляться відправкою інформації про дії користувача своїм авторам. Також слід враховувати той факт, що, як і в випадку з Мегафоном, що просочилися в Інтернет сторінки з інформацією про замовлення доступні постійно, тобто не прибираються з доступу з часом.
