Інтернет-користувачі у вівторок ввечері виявили, що «Яндекс» в своїй пошуковій видачі вміє показувати матеріали з популярного хмарного сервісу Google.Docs, власники яких додатково не захистили доступ паролем. Клікнувши на матеріал з результатів пошуку за такими матеріалами, можна було зайти і прочитати їх вміст. На «витік» особистих даних мільйонів росіян, чутливих службових документів і корпоративної переписки компаній і держустанов звернули увагу багато ЗМІ і блогери. У компанії «Яндекс» пообіцяли зв'язатися з Google і вказати на потенційну небезпеку «дірки», але до першої години ночі середи і самі заблокували доступ до документів для пошукових запитів по Google.Docs. При цьому шукати за матеріалами Google.Docs досі можуть Mail.ru, Bing і сам Google. Що це було? І що це значить?
Одним з перших на можливість «Яндекса» знайти і показати «чужі» незахищені документи з хмари Google.docs звернули увагу користувачі популярного спільноти MDK (вівторок, 4 липня, близько 23:00 за київським часом). Користувачі спільноти розповіли, як це можна було зробити. Наприклад, досить було ввести в рядок пошукового запитів текст виду: « site: docs.google.com паролі », І тоді« Яндекс »показав би всі документи всіх користувачів Google, в назві яких містилося слово« паролі »кирилицею. Отримавши цей список,
будь-який користувач «Яндекса» міг увійти в такий документ і побачити його вміст - наприклад, список чужих паролів від акаунтів в соцмережах або Піни від банківських карт.
Так, журналіст, SMM-щик і найпопулярніший користувач ВК Ігор Бєлкін стверджував , Що виявив внутрішню інструкцію по найму в «Тінькофф Банк», де говорилося про заборону брати на роботу «представників негроїдної раси», «яскраво виражених представників сексуальних меншин», а також тих, кому потрібно "молитися протягом робочого дня» (орфографія джерела збережена). Представники банку спершу спростували цю інформацію, заявивши що «беруть на роботу будь-якого, хто зможе ефективно працювати», але доступ до документа після уваги ЗМІ був обмежений. До вечора в прес-службі банку уточнили : Автора документа знайшли, це співробітник банку - і він залишиться співробітником банку. «Описані в цьому тексті правила прямо суперечать HR-політики групи», - заявили в «Тінькофф-банку», і цим обмежилися.
Відомий блогер Ілля Варламов заявив , Що виявив «звіт» мерії Єкатеринбурга по «боротьбі з негативом в ЗМІ». А деякий час назад Варламов якраз побував в місті і проїхався щодо його адміністрації. «Блогер Ілля Варламов розкритикував інфраструктуру Єкатеринбурга в зв'язку з ЧС-2018. Рекомендації: Підготувати від імені блогера - місцевого жителя та туриста - репортаж про зручність парків і вулиць Єкатеринбурга. Максимально зв'язати з темою Ройзмана - заявити, що це черговий приклад, коли глава міста обраний не як "міцний господарник" », - навів Варламов слова з документа. У відповідь в мерії документ назвали фейк. «Ми взагалі не працюємо в Google.docs», - запевнили в прес-службі.
У відкритому доступі також виявилися різні бюджети, кошториси, аналізи конкурентів, медіаплани, бази журналістів, і навіть нібито документ заступник міністра енергетики Росії
Антона Інюцина з представниками компаній, наприклад, «Газпрому» і «Лукойлу».
Приблизно о першій годині ночі 5 липня «Яндекс» сам зупинив індексацію файлів з сервісу Google.docs. У компанії пояснили, що в пошуковій видачі виявилися тільки ті документи, власники яких самі дозволили до них доступ «за гіперпосиланням» - тобто без введення пароля. «Приватний документи« Яндекс "не індексує», - заявили в компанії.
У пошуковику розповіли, що їх служба безпеки зв'язується з Google, щоб звернути увагу на простий доступ до, можливо, конфіденційної інформації користувачів. Важливо, що «Яндекс» - не єдиний популярний пошуковик, який індексував не захищені паролем документи користувачів з Google.doc.
Шукати по гугл-документам за описаною схемою досі можуть пошуковики Mail.ru, Bing, та й сам пошук Google .
«Це не витік конфіденційних даних, а банальна недбалість користувачів сервісів Google.docs і Google.drive», - заявили в компанії Group IB, що спеціалізується на розслідуванні кіберзлочинів. «Якщо у вас в налаштуваннях доступу обраний режим« по посиланню »і« загальнодоступне для пошуку і перегляду », ваша інформація може індексуватися пошуковими машинами», - пояснили в компанії. До речі, саме до таких документів в першу чергу отримує доступ кіберрозвідку і хакери.
У бесіді з кореспондентом «Новой газети» представник однієї з найбільших російських IT-компаній, що займається пошуком в інтернеті, припустив, що причина попадання масиву документів популярного хмарного сервісу в індексацію пошуковиків - баг (технічний збій) у файлу robots.txt на стороні Google. docs.
«Мабуть, там в явному вигляді прописана команда" allow "(" дозволити доступ »). Це проблема стосується всіх пошукових систем, тут питання - до компанії Google », -
вважає співрозмовник «Нової», який попросив не називати ні його імені, ні назви його компанії.
відповідь google
У компанії Google «Нову» запевнили, що сервіс працює коректно.
У відкритий доступ, за словами офіційного представника компанії, потрапили тільки ті документи, які «навмисно зроблені публічними», або посилання на які були опубліковані в інтернеті.
«Розширені пошукові запити були завжди, - розповів« Новій »керівник департаменту системних рішень Group IB Антон Фішман. - Інше питання, як саме індексувалися гугл-документи в пошуку і як в результаті відображалися у видачі. Наявність подібної видачі в інших пошукових системах (Bing, Mail.ru, Google), дає можливість думати, що так, проблема була і раніше ».
Фахівець пояснив, що будь-яка пошукова система покращує свій движок і переписує алгоритм здійснення індексації. «Не виключено, що в результаті цих поліпшень з'явилася можливість« бачити »раніше недоступні файли», - припустив, але не стверджує Фішман. - Ми бачили саме документи, які мали властивість «доступні для пошуку», а не просто доступ за посиланням. У пошукових систем є різні технології отримання таких посилань. Це можуть бути і різні сайти в інтернеті, де користувачі публікували ці посилання і різні «лічильники», встановлені на сайтах і різні браузерні плагіни ».
Технічний директор «РосКомСвободи» Станіслав Шакіров пояснив «Новой», що
помилка, через яку в доступі виявилися документи з сервісу, могла статися як у Google, так і у «Яндекса».
Якщо збій стався у пошукача, то він міг просто індексувати всі підряд з браузера або пошти, а якщо у Google, то у файлі robots.txt, припустив експерт.
«Наприклад, ви створили документ в Google.docs з правом доступу без пароля, але« за посиланням »і переслали його в месенджері. Одержувач скопіював посилання і вставив в пошуковий рядок, після чого пошуковик намагається індексувати це посилання », - сказав Шакіров. За дозвіл індексації у Google.docs відповідає файл robots.txt, в ньому і прописані всі ці алгоритми.
Опитані «Новою газетою» експерти запевняють, що компанія «Яндекс» не має права обробляти інформацію зі своїх джерел, наприклад, пошти. Однак «хитрують все», зазначив технічний директор «РосКомСвободи». У Group-IB додають, що нехтування елементарними правилами «цифровий гігієни» зробили загальнодоступними «навіть документи не зовсім легальних сфер бізнесу».
Під «цифровий гігієною» фахівці з IT-безпеки нічого нового не мають на увазі. Інструкція щодо захисту особистих даних залишилася колишньою: стежити за налаштуваннями приватності своїх документів і не зраджувати у відкритий доступ адреси, паролі і піни.
Що це було?І що це значить?