«Яндекс» рассекретил тайны пользователей Google
Российская поисковая система «Яндекс» провела индексацию данных с сервисов Google Docs («Документы Google») и Google Drive («Google диск»), в результате чего незащищенные настройками приватности документы попали в открытый доступ.«Яндекс» раскрывает тайны пользователей
Вечером 4 июля 2018 г. в поисковой выдаче «Яндекса» появилась конфиденциальная информация из документов, размещенных в облачных сервисах Google Docs и Google Drive.
Среди обнаруженного были замечены, к примеру, логины и пароли от учетных записей различных веб-сервисов, данные банковских карт, отчеты о финансовых показателях и планы PR-мероприятий коммерческих организаций и другие виды чувствительной информации. Многие из попавших в открытый доступ документов оказались доступными для редактирования, поэтому подверглись вандализму. В отдельных случаях пользователи, получившие доступ к чужим документам, напротив постарались уведомить их владельцев о случившемся.
Для того, чтобы найти приватную информацию такого рода, было необходимо перейти на страницу расширенного поиска «Яндекса», где помимо ключевых слов указать также и адрес сайта, на котором осуществляется поиск. В данном случае это docs.google.com или drive.google.com.
Спустя несколько часов после происшествия ссылки на Google Docs бесследно исчезли из выдачи «Яндекса», хотя поиск по Google Drive по-прежнему работал к утру 5 июля 2018 г.
Пресс-служба «Яндекса» сообщила, что поисковая система индексирует лишь то, что пользователи сами выкладывают в открытый доступ.
«"Яндекс" индексирует только открытую часть интернета – те страницы, которые доступны при переходе по ссылкам без ввода логина и пароля, – прокомментировал ситуацию порталу TJ Илья Грабовский, пресс-секретарь "Яндекса". – Страницы, индексация которых запрещена администратором сайта в файле robots.txt, "Яндекс" не индексирует, даже если они находятся в открытой части интернета».
Кроме того, представитель компании рассказал о попытке связаться с Google и проинформировать ее представителей о возникшей проблеме.
«В среду вечером в службу поддержки обратились пользователи с жалобами на проблему доступности файлов на docs.google.com, – сказал Грабовский. – Наша служба безопасности связывается сейчас с коллегами из Google, чтобы обратить их внимание на то, что в этих файлах может оказаться приватная информация».
Стоит также отметить, что искать по содержимому облачных хранилищ Google позволяет не только «Яндекс», но и сама поисковая система Google. Тем не менее, на практике найти таким способом хоть сколько-нибудь ценную и актуальную информацию крайне затруднительно.
Как защитить себя от подобных инцидентов
В Google Docs существует три основных режима доступа к документу: «для всех в интернете» – любой пользователь сможет найти файл в поиске Google и получить к нему доступ, даже не входя в учетную запись Google. Данный режим является самым небезопасным, хранить пароли в документах с такими параметрами доступа нельзя ни в коем случае; «для всех, у кого есть ссылка» – любой пользователь, кому в руки попадет специально сформированная ссылка на документ, сможет получить к нему доступ без входа в учетную запись Google. Именно документы с этим видом доступа проиндексировал «Яндекс», в результате чего информация из них попала в открытый доступ; «для выбранных пользователей» – доступ к документу получат только те, кого вы пригласите. Приглашенному пользователю придется войти в свою учетную запись, чтобы получить возможность просматривать и/или редактировать документ, а все его действия будут фиксироваться в истории редактирования документа.
В целом, Google Docs не лучший выбор для хранения конфиденциальной информации, но если и использовать его для подобных целей, то только в сочетании с опцией «для выбранных пользователей».