«Яндекс» рассекретил тайны пользователей Google

Безопасность Стратегия безопасности Пользователю Интернет Веб-сервисы Техника
мобильная версия
, Текст: Дмитрий Степанов
Российская поисковая система «Яндекс» провела индексацию данных с сервисов Google Docs («Документы Google») и Google Drive («Google диск»), в результате чего незащищенные настройками приватности документы попали в открытый доступ.

«Яндекс» раскрывает тайны пользователей

Вечером 4 июля 2018 г. в поисковой выдаче «Яндекса» появилась конфиденциальная информация из документов, размещенных в облачных сервисах Google Docs и Google Drive.

Среди обнаруженного были замечены, к примеру, логины и пароли от учетных записей различных веб-сервисов, данные банковских карт, отчеты о финансовых показателях и планы PR-мероприятий коммерческих организаций и другие виды чувствительной информации. Многие из попавших в открытый доступ документов оказались доступными для редактирования, поэтому подверглись вандализму. В отдельных случаях пользователи, получившие доступ к чужим документам, напротив постарались уведомить их владельцев о случившемся.

Для того, чтобы найти приватную информацию такого рода, было необходимо перейти на страницу расширенного поиска «Яндекса», где помимо ключевых слов указать также и адрес сайта, на котором осуществляется поиск. В данном случае это docs.google.com или drive.google.com.

Спустя несколько часов после происшествия ссылки на Google Docs бесследно исчезли из выдачи «Яндекса», хотя поиск по Google Drive по-прежнему работал к утру 5 июля 2018 г.

passwords400_1.png
После того, как у «Яндекса» появилась возможность поиска по документам Google, найти пароли в свободном доступе оказалось проще простого

Пресс-служба «Яндекса» сообщила, что поисковая система индексирует лишь то, что пользователи сами выкладывают в открытый доступ.

«"Яндекс" индексирует только открытую часть интернета – те страницы, которые доступны при переходе по ссылкам без ввода логина и пароля, – прокомментировал ситуацию порталу TJ Илья Грабовский, пресс-секретарь "Яндекса". – Страницы, индексация которых запрещена администратором сайта в файле robots.txt, "Яндекс" не индексирует, даже если они находятся в открытой части интернета».

Кроме того, представитель компании рассказал о попытке связаться с Google и проинформировать ее представителей о возникшей проблеме.

«В среду вечером в службу поддержки обратились пользователи с жалобами на проблему доступности файлов на docs.google.com, – сказал Грабовский. – Наша служба безопасности связывается сейчас с коллегами из Google, чтобы обратить их внимание на то, что в этих файлах может оказаться приватная информация».

Добропорядочные пользователи Сети оставляют предупреждающие сообщения владельцам документов, попавших в открытый доступ

Стоит также отметить, что искать по содержимому облачных хранилищ Google позволяет не только «Яндекс», но и сама поисковая система Google. Тем не менее, на практике найти таким способом хоть сколько-нибудь ценную и актуальную информацию крайне затруднительно.

Как защитить себя от подобных инцидентов

В Google Docs существует три основных режима доступа к документу: «для всех в интернете» – любой пользователь сможет найти файл в поиске Google и получить к нему доступ, даже не входя в учетную запись Google. Данный режим является самым небезопасным, хранить пароли в документах с такими параметрами доступа нельзя ни в коем случае; «для всех, у кого есть ссылка» – любой пользователь, кому в руки попадет специально сформированная ссылка на документ, сможет получить к нему доступ без входа в учетную запись Google. Именно документы с этим видом доступа проиндексировал «Яндекс», в результате чего информация из них попала в открытый доступ; «для выбранных пользователей» – доступ к документу получат только те, кого вы пригласите. Приглашенному пользователю придется войти в свою учетную запись, чтобы получить возможность просматривать и/или редактировать документ, а все его действия будут фиксироваться в истории редактирования документа.

documentaccess600.png
Диалоговое окно, позволяющее настроить доступ к документу Google

В целом, Google Docs не лучший выбор для хранения конфиденциальной информации, но если и использовать его для подобных целей, то только в сочетании с опцией «для выбранных пользователей».