Бесплатно Экспресс-аудит сайта:

30.08.2014

С помощью Google можно получить несанкционированный доступ к данным на web-сайтах

Известно, что инструменты поисковика Google могут использоваться хакерами для поиска данных в информационных системах различных организаций. Этот способ взлома, получивший название «Google-доркинг» (Google dorking), в течение многих лет использовался исследователями безопасности для проведения проверок защищенности своих клиентов.

По словам издания Ars Technica, Министерство внутренней безопасности США (US Department of Homeland Security) совместно с ФБР разослали уведомления полиции и персоналу по обеспечению публичной безопасности. В них предупреждается об опасности Google-доркинга.

К примеру, если во время поиска хакер введет в строку поисковика параметры filetype:xls intext:username, он увидит список всех XLS-файлов, содержащих строку с именами пользователей. Такой же способ используется для получения доступа к логинам и паролям, банковским данным и уязвимостям на web-сайтах.

В уведомлении приведены несколько примеров взлома ряда web-сайтов с помощью Google-доркинга. Помимо этого, упоминается о существовании ПО Diggity Project, позволяющего проверить устойчивость сайта к таким атакам.

Отметим, что проведение Google-доркинга возможно лишь благодаря тому, что администраторы и владельцы web-сайтов не уделяют достаточного внимания базовым правилам безопасности.

С отчетом Ars Technica можно ознакомиться здесь .