Сканирование публичных форм и посадочных страниц: как находят «забытые» лендинги с персональными данными

Что на самом деле собирает ваш сайт — и знаете ли вы об этом?

Проблема, которую никто не видит

Представьте маркетолога, который в 2021 году запустил лендинг для летней акции. Форма собирала имя, телефон и email. Акция закончилась, лендинг «деактивировали» — убрали из меню навигации. Но страница осталась доступной по прямой ссылке. База данных продолжала принимать и хранить записи ещё три года. Никакого согласия на обработку персональных данных, никакой политики конфиденциальности, никакого уведомления в Роскомнадзор.

Это не гипотетический сценарий. Это типичная история из практики большинства компаний с веб-присутствием старше трёх лет.

Проблема «забытых» цифровых активов — одна из самых недооценённых в корпоративной безопасности и комплаенсе. По данным исследований в области управления поверхностью атаки, организации в среднем не отслеживают около 40% своих цифровых следов [6]. Устаревшие поддомены, тестовые среды, старые лендинги и заброшенные аккаунты — всё это дыры в безопасности.

Эта статья написана для тех, кто хочет понять: как именно находят забытые точки сбора персональных данных, какие инструменты для этого используют злоумышленники и регуляторы, и как выстроить защиту не разовым аудитом, а непрерывным процессом.

Часть 1. Что такое «забытый» лендинг и почему он опасен

Анатомия теневого веб-актива

В терминологии кибербезопасности существует понятие «теневых данных» (shadow data) — информации, которая существует за пределами официально контролируемых систем организации [7]. Применительно к веб-инфраструктуре это явление принимает конкретные формы.

«Забытый» лендинг — это публично доступная страница, которая:

1. Была создана для временной цели (акция, промо, мероприятие, A/B тест).
2. Перестала активно продвигаться или была «убрана» из навигации.
3. Продолжает существовать на сервере и быть доступной по прямому URL или через поисковый индекс.
4. Содержит форму сбора данных, которая либо всё ещё работает, либо хранит ранее собранные записи.

Типичные источники таких страниц:

• Рекламные и акционные лендинги прошлых лет
• Тестовые и staging-версии сайтов с реальными данными
• Страницы ивентов и вебинаров, которые уже прошли
• Формы подписки на рассылку, перенесённые в другой сервис
• Страницы старых продуктов или услуг, которые компания уже не предоставляет
• Квизы и калькуляторы, созданные маркетологами через конструкторы без участия IT-отдела
• Субдомены, зарегистрированные подрядчиками и оставшиеся после окончания сотрудничества

Как точно замечено в отчёте по практике защиты персональных данных: «Инвентаризация — это честный список: где берём ПД, что с ними делаем, где и сколько храним, кто имеет доступ, кому отдаём. Так находят "чёрных лебедей": забытые формы, висящие интеграции, лишние поля» [8].

Правовой контекст: когда форма становится нарушением

С точки зрения российского законодательства ситуация однозначна. Федеральный закон №152-ФЗ «О персональных данных» и внесённые в него изменения законом №420-ФЗ устанавливают: если страница собирает имя, email, телефон или даже IP-адрес — владелец становится оператором персональных данных [9].

Это влечёт ряд обязательств:

1. Необходимо уведомить Роскомнадзор о начале обработки ПДн. С 30 мая 2025 года за непредставление такого уведомления грозит штраф от 100 000 до 300 000 рублей [10].
2. Рядом с каждой формой должна быть ссылка на Политику обработки персональных данных и незаполненный чекбокс явного согласия пользователя [11].
3. При утечке данных оператор обязан уведомить Роскомнадзор в течение 24 часов, а в течение 72 часов предоставить результаты расследования [2].
4. С сентября 2025 года согласия должны быть отдельными: на обработку, на cookies, на трансграничную передачу, на маркетинг [9].

При этом «забытая» форма — это форма, которая, как правило, не имеет ни одного из перечисленных элементов. Фактически любой такой лендинг представляет собой неурегулированную точку сбора ПДн, существующую вне всякого контроля.

Масштаб проблемы в России

В 2024 году Роскомнадзор выявил 135 фактов утечек персональных данных, содержащих более 710 миллионов записей [1]. Наибольшее количество утечек зафиксировано у компаний в сфере торговли и оказания услуг — именно тех, кто активно использует лендинги и промо-страницы для сбора заявок.

В первой половине 2025 года РКН выявил 35 фактов утечек, содержащих более 39 миллионов записей [1]. По данным DLBI, за 2025 год на форумах даркнета и в Telegram-каналах появилась 61 утечка. Эти базы содержали 36,5 миллиона уникальных номеров телефонов и 28,7 миллиона email-адресов [1].

Роскомнадзор применяет автоматический мониторинг сайтов, который проверяет наличие политики обработки ПДн, корректность согласий, работу cookie-баннеров и передачу данных в сторонние сервисы. При этом автоматический робот регулятора может находить и индексировать страницы так же, как поисковая машина [11].

Часть 2. Как находят забытые лендинги: инструменты и техники

Google Dorks: поиск открытых форм через поисковые операторы

Первый и самый доступный метод обнаружения незащищённых форм — использование расширенных операторов поисковых систем, известных в профессиональной среде как Google Dorks или Google Hacking [12].

Это полностью легальный метод: все результаты получены из публично проиндексированного контента. Проблема не в методе, а в том, что организации оставляют свои данные в открытом доступе.

Принцип работы прост: поисковые системы индексируют всё, что доступно публично, включая страницы, которые владелец считает «неактивными». Если страница доступна по прямой ссылке и не закрыта директивами robots.txt или метатегом noindex, она с высокой вероятностью будет проиндексирована [13].

Ключевые операторы для поиска форм и лендингов:

1. Оператор site: — ограничивает поиск конкретным доменом или его субдоменами: site:company.ru inurl:form или site:*.company.ru. Позволяет найти все проиндексированные страницы, включая те, о которых не подозревает владелец.
2. Оператор inurl: — ищет по словам в URL-адресе: inurl:landing inurl:form, inurl:subscribe, inurl:promo-2022. Типичные паттерны URL заброшенных страниц хорошо предсказуемы.
3. Оператор intitle: — поиск по заголовку страницы: intitle:"оставьте заявку" site:company.ru или intitle:"получите бесплатно".
4. Комбинированные запросы: site:company.ru filetype:php inurl:contact позволяют найти PHP-скрипты обработки форм, а site:*.company.ru intext:"персональные данные" — страницы, упоминающие сбор ПДн на субдоменах [14].

Специализированная база Google Hacking Database (GHDB) на ExploitDB содержит тысячи готовых запросов, в том числе направленных на обнаружение открытых форм сбора данных, административных панелей и незащищённых файловых хранилищ [12].

Wayback Machine: история удалённых страниц

Интернет-архив Wayback Machine (web.archive.org) хранит более 500 миллиардов снимков веб-страниц с середины 1990-х годов. Это означает, что страница, которую вы «удалили» с сайта несколько лет назад, с высокой вероятностью сохранена в архиве вместе со своей структурой, формами и параметрами [15].

Для атакующего или исследователя безопасности архив позволяет:

• Восстановить URL страниц, которые уже недоступны на основном сайте, но могут существовать на других серверах или поддоменах.
• Изучить историческую структуру сайта, включая поддомены и пути, которые использовались в прошлом.
• Найти формы с параметрами, которые передавались в конкретные базы данных или CRM-системы.
• Обнаружить API-эндпоинты, которые могли не измениться, несмотря на «ребрендинг» фронтенда.

Инструменты на основе Wayback Machine — waybackurls и gau (Get All URLs) — позволяют автоматически извлечь все когда-либо проиндексированные URL для заданного домена [16]. Это значит, что история веб-присутствия компании доступна для анализа любому желающему.

Перечисление субдоменов: находим то, о чём «забыли»

Субдоменная разведка — систематический процесс обнаружения всех поддоменов, связанных с основным доменом организации. Это отдельное и крайне важное направление.

По данным исследований в области управления поверхностью атаки, организации часто не отслеживают устаревшие субдомены, которые существуют в DNS-записях и могут быть перехвачены атакующими [17]. В 2024 году крупная розничная сеть пострадала от утечки данных именно через неиспользуемый субдомен разработки, связанный с устаревшей CMS [18].

Методы перечисления субдоменов делятся на две группы:

Пассивные методы (без прямого взаимодействия с целевой системой):

1. Анализ журналов Certificate Transparency (crt.sh, certspotter) — все TLS-сертификаты публикуются в открытых журналах, включая сертификаты для поддоменов.
2. Поиск через поисковые системы с оператором site:*.company.ru.
3. Анализ архивных данных через Wayback Machine и urlscan.io.
4. Использование пассивных DNS-сервисов (SecurityTrails, PassiveDNS).

Активные методы (прямое взаимодействие с DNS-серверами):

1. Брутфорс субдоменов по словарям типовых названий: dev, test, staging, old, beta, promo2023, lp, landing.
2. Проверка DNS Zone Transfer, если конфигурация сервера это допускает.
3. Обратный DNS-поиск по IP-диапазону.

Злоумышленники ищут именно: старые среды разработки с уязвимым ПО, staging-серверы с реальными данными, забытые административные панели, API-эндпоинты без аутентификации [19].

Shodan и другие поисковики по инфраструктуре

Shodan — специализированная поисковая система, которая непрерывно сканирует весь публичный адресный IP-диапазон интернета, собирая баннеры сервисов, заголовки HTTP-ответов, данные SSL-сертификатов и метаданные. В отличие от Google, которая индексирует контент страниц, Shodan индексирует открытые сетевые сервисы [20].

Применительно к обнаружению форм с ПДн Shodan позволяет:

1. Найти серверы с открытыми портами, на которых запущены веб-приложения, о существовании которых организация не подозревает.
2. Обнаружить устаревшее ПО (старые версии WordPress, Bitrix, Tilda и других CMS) на субдоменах.
3. Найти сервисы с известными уязвимостями, в том числе формы с уязвимостями типа SQL-инъекция.
4. Сопоставить IP-адреса с доменами через обратный DNS.

Аналогичные возможности предоставляют Censys, FOFA (популярен для анализа российских ресурсов) и отечественный сервис Hunt.io.

Краулинг и автоматические сканеры

Когда базовая разведка завершена и список потенциальных активов составлен, следующий шаг — автоматический краулинг (crawling): систематический обход страниц сайта для создания его полной карты [21].

Инструменты уровня Burp Suite Professional, OWASP ZAP, Invicti и аналоги автоматически:

• Следуют по всем ссылкам на странице, включая скрытые и динамически генерируемые JavaScript.
• Обнаруживают все формы, их поля и методы передачи данных.
• Выявляют параметры URL, cookies и заголовки запросов.
• Идентифицируют API-эндпоинты, в том числе недокументированные.
• Фиксируют передачу данных сторонним сервисам (аналитика, CRM, рекламные пиксели).

Современные сканеры умеют работать с динамическими сайтами на JavaScript-фреймворках (React, Vue.js), обходить CSRF-защиту при краулинге и анализировать SPA-приложения [22].

Часть 3. Типичные точки риска: где «живут» забытые формы

Конструкторы лендингов как зоны риска

Tilda, LPgenerator, Платформа LP, Flexbe, uKit и многие другие конструкторы позволяют создавать лендинги без участия IT-отдела. Это их главное преимущество и главная проблема с точки зрения безопасности.

Маркетолог создаёт страницу, запускает рекламу, собирает лиды. Потом рекламная кампания заканчивается. Что происходит дальше со страницей? В большинстве случаев — ничего. Страница остаётся опубликованной. Форма продолжает работать. Данные собираются никем не замеченные.

Проблема усугубляется тем, что в конструкторах часто используются встроенные интеграции с CRM, email-сервисами и рекламными системами. Данные из «забытой» формы могут уходить в несколько сторонних систем одновременно — и ни одна из них не отслеживается.

Согласно требованиям 152-ФЗ, даже использование сторонних форм (CRM, чат-боты, виджеты) не снимает ответственности с оператора — владельца сайта [11].

Субдомены маркетинговых кампаний

Типичная ситуация: для крупной промо-акции создаётся поддомен вида promo2022.company.ru, blackfriday.company.ru или event-название.company.ru. На нём размещается форма регистрации или заявки. После акции поддомен «отключается», но DNS-запись остаётся — а вместе с ней и работающая страница.

Хуже того: иногда для создания таких страниц привлекаются внешние подрядчики. После окончания контракта они могут сохранить доступ к серверу, а организация теряет контроль над размещёнными активами полностью.

Тестовые и staging-среды с реальными данными

Для тестирования нового дизайна или функций разработчики нередко используют копии production-баз данных. Эти среды развёртываются на субдоменах вроде test.company.ru, dev.company.ru, staging.company.ru или demo.company.ru.

Если такая среда остаётся публично доступной — а это случается гораздо чаще, чем принято думать — то она одновременно содержит реальные ПДн клиентов и имеет более слабую защиту, чем основной сайт: устаревшее ПО, простые пароли или их отсутствие, отключённые средства мониторинга.

По данным Forbes, одним из ключевых элементов «цифрового купола безопасности» является именно обнаружение забытых теневых активов, через которые может быть совершено вторжение [23].

API-эндпоинты как самостоятельные точки сбора

Форма на лендинге — только видимая часть. За ней стоит API-эндпоинт, который принимает данные. Когда лендинг «убирают», API-эндпоинт нередко продолжает функционировать — и принимать данные от кого угодно.

Современные инструменты EASM (External Attack Surface Management) способны обнаруживать такие эндпоинты через анализ JavaScript-кода, исторических DNS-данных и трафика [24].

Часть 4. Как это работает изнутри: полный цикл разведки

Для понимания масштаба угрозы важно представить, как выглядит процесс разведки с точки зрения атакующего или аудитора. Ниже описан типичный сценарий — от первого поискового запроса до обнаружения незащищённой формы.

Этап 1: Пассивная разведка. Начинается с поисковых запросов: site:*.company.ru, поиска в crt.sh по домену, анализа записей в Wayback Machine. За несколько минут формируется список из десятков субдоменов и исторических URL.

Этап 2: Активная проверка. Полученный список URL проверяется на доступность: какие страницы отвечают HTTP-статусом 200 (доступна), 301/302 (редирект) или 404 (не найдена). Страницы со статусом 200, содержащие HTML-формы, становятся объектами детального изучения.

Этап 3: Анализ форм. На каждой найденной странице с формой проверяется: наличие чекбокса согласия на обработку ПДн, наличие ссылки на политику конфиденциальности, куда отправляются данные (action-атрибут формы или JavaScript-обработчик), используется ли HTTPS, есть ли передача данных сторонним сервисам.

Этап 4: Картографирование. Полученная информация структурируется: список всех точек сбора данных с указанием их статуса соответствия требованиям. Для регулятора это — основа для предписания. Для злоумышленника — карта уязвимостей.

Весь этот процесс может занять от нескольких часов до нескольких дней в зависимости от размера организации. При этом большинство инструментов — поисковые операторы, crt.sh, Wayback Machine — полностью бесплатны и общедоступны.

Часть 5. Чек-лист аудита: как найти свои забытые лендинги

Самопроверка — первый и обязательный шаг. Ниже приведён практический чек-лист, который позволяет провести базовую инвентаризацию веб-активов своими силами.

Блок 1: Разведка по домену

1. Введите в Google запрос site:*.ваш_домен.ru и просмотрите все найденные субдомены.
2. Откройте crt.sh, введите ваш домен — получите список всех TLS-сертификатов, включая исторические. Это даст субдомены, о которых вы могли забыть.
3. Проверьте Wayback Machine (web.archive.org) — введите ваш домен и изучите исторические снимки. Обратите особое внимание на периоды 3–7 лет назад.
4. Запросите в вашей DNS-системе все A-записи и CNAME-записи для вашего домена. Если есть доступ к зонному файлу — изучите его полностью.
5. Попросите маркетинговую команду предоставить список всех лендингов, созданных за последние 5 лет (включая созданные в конструкторах, агентствами и фрилансерами).

Блок 2: Проверка каждой найденной страницы

1. Доступна ли страница (отвечает ли она HTTP 200)?
2. Есть ли на ней форма сбора данных (email, телефон, имя, любые личные поля)?
3. Если форма есть — работает ли она? (Проверяется отправкой тестовых данных.)
4. Есть ли рядом с формой незаполненный чекбокс согласия на обработку ПДн?
5. Есть ли ссылка на актуальную Политику конфиденциальности?
6. Работает ли страница по HTTPS?
7. Куда уходят данные из формы? (Проверить атрибут action или запросы в инструментах разработчика браузера.)
8. Передаются ли данные сторонним сервисам (Яндекс.Метрика, Google Analytics, Facebook Pixel, CRM-виджеты)?

Блок 3: Проверка конструкторов и сторонних систем

1. Зайдите во все аккаунты конструкторов (Tilda, LPgenerator и аналоги) и получите полный список опубликованных страниц.
2. Проверьте аккаунты email-сервисов (Unisender, SendPulse, GetResponse и аналоги) — там могут быть встроенные формы подписки с собственными URL.
3. Запросите у подрядчиков и агентств список созданных ими страниц за последние 5 лет.
4. Проверьте корпоративные аккаунты в системах аналитики — там отображаются все страницы, с которых приходят визиты.

Блок 4: Документирование и исправление

1. Составьте реестр всех найденных точек сбора ПДн с указанием: URL, типа данных, статуса соответствия 152-ФЗ, ответственного, плана исправления.
2. Для каждой устаревшей формы определите одно из трёх действий: устранить страницу, привести в соответствие (добавить согласие, политику, HTTPS), передать под постоянный мониторинг.
3. Для форм, которые собирали данные без надлежащего согласия, проконсультируйтесь с юристом относительно обязательств по уведомлению субъектов данных.

Часть 6. Ошибки и риски: что делают не так

Ошибка 1: Считать «удалённую из меню» страницу действительно удалённой

Убрать ссылку из навигации — не то же самое, что удалить страницу с сервера. Страница остаётся доступной по прямой ссылке. Поисковые системы могут хранить её в кэше годами. Wayback Machine сохраняет снимки независимо от ваших действий.

Единственный способ «удалить» страницу — либо физически удалить файлы с сервера, либо закрыть доступ через конфигурацию сервера, либо вернуть HTTP-статус 410 (Gone) и убедиться, что robots.txt корректно настроен.

Ошибка 2: Разовый аудит вместо непрерывного мониторинга

Ситуация с ПДн на сайте меняется постоянно: маркетологи запускают новые кампании, разработчики разворачивают тестовые среды, подрядчики добавляют сторонние скрипты. Аудит раз в год фиксирует состояние на момент проверки, но уже через неделю картина может измениться.

Роскомнадзор применяет непрерывный автоматизированный мониторинг сайтов [11]. Инциденты по утечке данных нередко обнаруживаются регулятором или журналистами раньше, чем самой компанией.

Ошибка 3: Не учитывать подрядчиков и агентства

Маркетинговые агентства, разработчики, SEO-специалисты и CRM-интеграторы создают веб-страницы и скрипты, собирающие ПДн. После окончания сотрудничества их творения нередко остаются работать. Ответственность при этом несёт оператор — то есть ваша компания [9].

Разрыв между документами (договором, политикой) и реальностью — частая причина штрафов [11].

Ошибка 4: Игнорировать мобильные приложения и API

Мобильные приложения могут обращаться к API-эндпоинтам, которые обрабатывают ПДн. Эти эндпоинты часто «живут» дольше, чем сами приложения, и остаются доступными после выхода новой версии.

Ошибка 5: Не проверять сторонние виджеты и скрипты

Счётчики аналитики, виджеты чатов и формы часто нарушают требования незаметно [26]. Каждый сторонний скрипт на странице — потенциальная точка передачи данных за пределы контролируемого периметра.

Часть 7. Тренды и будущее: почему проблема будет нарастать

Рост числа точек сбора данных

ИТ-ландшафт компаний усложняется с каждым годом. По данным исследований, 67% руководителей в области безопасности отмечают, что применение GenAI расширило поверхность атаки их организаций за последний год [24]. Инструменты no-code и low-code позволяют создавать формы сбора данных без участия профессиональных разработчиков — и без автоматического включения таких активов в реестры.

Ужесточение регуляторного давления

Тренд на ужесточение штрафов в России устойчив. За три года максимальный штраф за утечку вырос с нескольких десятков тысяч рублей до 20 миллионов и выше (оборотные штрафы) [3]. Роскомнадзор активизировал контроль соблюдения 152-ФЗ: проверки усилились в том числе из-за роста числа утечек [11].

Рост возможностей атакующих

Автоматизация разведки становится доступнее. Инструменты, которые несколько лет назад требовали специализированных навыков, сегодня доступны как готовые SaaS-платформы. По данным Forbes, ИИ снижает порог входа: «сложные схемы доступны даже тем, у кого нет технических навыков» [23].

Движение в сторону непрерывного контроля

Мировая практика и российские тренды указывают в одном направлении: разовые аудиты уступают место непрерывному мониторингу. Концепция EASM (External Attack Surface Management) и DSPM (Data Security Posture Management) переходит из категории «продвинутых практик» в категорию базовых требований к зрелой организации [24].

Часть 8. Что делать: системный подход к защите

Шаг 1: Полная инвентаризация веб-активов

Невозможно защитить то, о чём не знаешь. Первый шаг — составить исчерпывающий список всех точек сбора ПДн: не только основной сайт, но и все субдомены, страницы в конструкторах, формы в сторонних сервисах.

Шаг 2: Классификация и приоритизация

Не все найденные активы одинаково опасны. Форма, собирающая биометрические данные, критичнее формы, собирающей email для рассылки. Реестр должен содержать категорию ПДн, статус соответствия, ответственного и приоритет исправления.

Шаг 3: Немедленное устранение критических нарушений

Страницы с формами без согласия на обработку ПДн и без политики конфиденциальности — нарушение, которое может быть зафиксировано автоматическим роботом Роскомнадзора в любой момент. Устаревшие страницы следует либо приводить в соответствие, либо удалять.

Шаг 4: Встраивание контроля в процессы

Управление жизненным циклом веб-активов должно стать стандартным процессом: создание нового лендинга — регистрация в реестре; окончание кампании — деактивация страницы или её приведение в соответствие; появление нового подрядчика — согласование перечня активов, которые он создаёт.

Шаг 5: Переход к непрерывному мониторингу

Ручной аудит — необходимый, но недостаточный инструмент. ИТ-ландшафт меняется быстрее, чем проводятся плановые проверки. Автоматизированные решения позволяют видеть новые риски в режиме реального времени — прежде чем они превратятся в инцидент.

Инвентаризация как основа безопасности

Проблема забытых лендингов с персональными данными не является экзотической угрозой. Это системный риск, характерный для большинства российских компаний, активно использующих интернет-маркетинг. Разрыв между скоростью, с которой создаются новые точки сбора данных, и скоростью, с которой они берутся под контроль, — вот ключевая уязвимость.

Роскомнадзор умеет находить такие страницы. Злоумышленники умеют находить их ещё лучше. Вопрос не в том, будет ли обнаружена незащищённая форма, а в том, кто обнаружит её первым: регулятор, атакующий или сам владелец.

Хорошая новость: инструменты, которыми пользуется «другая сторона», доступны и для самодиагностики. Google Dorks, crt.sh, Wayback Machine — всё это можно применить для собственной разведки прямо сейчас. Плохая новость: разовая проверка устаревает немедленно после завершения.

Единственный устойчивый ответ на постоянно меняющийся ИТ-ландшафт — непрерывный контроль, встроенный в повседневные процессы.

О платформе «Пятый фактор»

Описанная в статье проблема — разрыв между реальным состоянием веб-инфраструктуры и тем, что компания считает актуальной картиной, — является одной из центральных в сфере управления персональными данными. Именно для её решения создана платформа «Пятый фактор».

«Пятый фактор» — это on-prem платформа для автоматического обнаружения, инвентаризации и контроля персональных данных в корпоративных системах: базах данных, хранилищах, почте, AD/LDAP, CRM, 1С и API. Ключевая особенность — работа только с метаданными, структурой и агрегатами, без передачи и хранения «сырых» ПДн. Это значит, что сам инструмент контроля не становится дополнительным источником риска.

Применительно к проблеме забытых форм и лендингов платформа позволяет:

• Видеть в режиме реального времени, где и какие персональные данные обрабатываются, кто является ответственным и что изменилось с последней проверки.
• Замечать новые риски (новые поля, новые интеграции, новые источники данных) прежде, чем они превратились в инцидент.
• Сократить время аудита с недель до часов: актуальная «карта ПДн» всегда под рукой, а не строится с нуля к каждой проверке.

Контроль над персональными данными становится процессом, а не разовым проектом. Подробнее: 5factor.ru

Источники

[1] TAdviser — Утечки данных в России. https://www.tadviser.ru/index.php/Статья:Утечки_данных_в_России

[2] Tilda Education — Как избежать штрафов в связи с поправками к закону о персональных данных. https://tilda.education/articles-personal-data-law

[3] КонсультантПлюс — Персональные данные: новые штрафы с 30 мая 2025 года. https://www.consultant.ru/legalnews/28492/

[4] codeby.net — Как защититься от OSINT-разведки. https://codeby.net/threads/kak-zashchitit-sya-ot-osint-razvedki-prakticheskoye-rukovodstvo-2025.90144/

[5] SentinelOne — Shadow Data: Hidden Risks & Mitigation Strategies for 2026. https://www.sentinelone.com/cybersecurity-101/cybersecurity/shadow-data/

[6] Wiz — Shadow Data in 2026: Why It's Multiplying and How to Manage It. https://www.wiz.io/academy/data-security/shadow-data

[7] Huntress — What Is Shadow Data? Definition, Risks & Prevention Guide. https://www.huntress.com/cybersecurity-101/topic/what-is-shadow-data

[8] DTF/U4i-Online — Руководство по защите персональных данных: 152-ФЗ. https://dtf.ru/u4i-online/3979074-zashchita-personalnykh-dannykh-152-fz-lokalizatsiya

[9] Nubes — Персональные данные в 2025 году: новые правила обработки и защиты для бизнеса. https://nubes.ru/blog/articles/personal-data-2025

[10] Хабр / МойСклад — Роскомнадзор ужесточил штрафы за персданные. https://habr.com/ru/companies/moysklad/articles/994568/

[11] ads-soft.ru — Аудит сайта по 152-ФЗ: как подготовиться к проверке Роскомнадзора. https://ads-soft.ru/articles/audit-sayta-po-152-fz-kak-podgotovitsya-k-proverke-roskomnadzora-i-snizit-riski/

[12] Imperva — What is Google Dorking/Hacking. https://www.imperva.com/learn/application-security/google-dorking-hacking/

[13] OWASP — Conduct Search Engine Discovery Reconnaissance for Information Leakage. https://owasp.org/www-project-web-security-testing-guide/latest/4-Web_Application_Security_Testing/01-Information_Gathering/01-Conduct_Search_Engine_Discovery_Reconnaissance_for_Information_Leakage

[14] YesWeHack — Recon series #5: A hacker's guide to Google dorking. https://www.yeswehack.com/learn-bug-bounty/recon-hackers-guide-google-dorking

[15] Wikipedia — Wayback Machine. https://en.wikipedia.org/wiki/Wayback_Machine

[16] OSINT Team — Automating Subdomain Enumeration: Tools and Techniques that Scale. https://osintteam.blog/automating-subdomain-enumeration-tools-and-techniques-that-scale-caceadf70c03

[17] WhoisFreaks — Unmasking Hidden Threats: The Role of Subdomain Enumeration in Attack Surface Management. https://whoisfreaks.com/resources/blog/unmasking-hidden-threats-the-role-of-subdomain-enumeration-in-attack-surface-management

[18] OSINT Team — Automating Subdomain Enumeration (пример с retail breach). https://osintteam.blog/automating-subdomain-enumeration-tools-and-techniques-that-scale-caceadf70c03

[19] Devansh — Hitchhiker's Guide to Attack Surface Management. https://devansh.bearblog.dev/attack-surface-management/

[20] ZeroToMastery — Beginner's Guide to Passive Reconnaissance Tools in Cyber Security. https://zerotomastery.io/blog/passive-reconnaissance-tools/

[21] PortSwigger — Crawling. https://portswigger.net/burp/documentation/scanner/crawling

[22] Invicti — Crawl Where Other Vulnerability Scanners Can't. https://www.invicti.com/features/advanced-website-crawling-technologies

[23] Forbes.ru — Как российский бизнес защищается от хакеров. https://www.forbes.ru/club/553427-kak-rossijskij-biznes-zasisaetsa-ot-hakerov

[24] Wiz — Attack Surface Scanning: Complete Guide and Best Practices. https://www.wiz.io/academy/cloud-security/attack-surface-scanning

[25] ddos-guard.ru — Инвентаризация IT-активов — зачем она вам? https://ddos-guard.ru/blog/inventarizaciya-it-aktivov

[26] megagroup.ru — Юридический аудит сайта по 152-ФЗ. https://megagroup.ru/prodvizhenie/seo/fz-152