Комментарий · Общество

«Яндекс» нашел все. Все, что мы разрешили

Любой пользователь мог раньше, может теперь и сможет завтра искать и читать материалы других пользователей, компаний и корпораций. Чему нас учит «Гугл-гейт»

14:40, 5 июля 2018Максим Прошкин, Корреспондент

14564

14:40, 5 июля 2018Максим Прошкин, Корреспондент

14564

Фото: Reuters

Интернет-пользователи во вторник вечером обнаружили, что «Яндекс» в своей поисковой выдаче умеет показывать материалы из популярного облачного сервиса Google.Docs, владельцы которых дополнительно не защитили доступ паролем. Кликнув на материал из результатов поиска по таким материалам, можно было зайти и прочитать их содержимое. На «утечку» личных данных миллионов россиян, чувствительных служебных документов и корпоративной переписки компаний и госучреждений обратили внимание многие СМИ и блогеры. В компании «Яндекс» пообещали связаться с Google и указать на потенциальную опасность «дыры», но к часу ночи среды и сами заблокировали доступ к документам для поисковых запросов по Google.Docs. При этом искать по материалам Google.Docs до сих пор могут Mail.ru, Bing и сам Google. Что это было? И что это значит?

Одним из первых на возможность «Яндекса» найти и показать «чужие» незащищенные документы из облака Google.docs обратили внимание пользователи популярного сообщества MDK (вторник, 4 июля, около 23:00 по Москве). Юзеры сообщества рассказали, как это можно было сделать. К примеру, достаточно было ввести в строку поискового запросов текст вида: «site:docs.google.com пароли», и тогда «Яндекс» показал бы все документы всех пользователей Google, в названии которых содержалось слово «пароли» кириллицей. Получив этот список,

любой пользователь «Яндекса» мог войти в такой документ и увидеть его содержимое — например, список чужих паролей от аккаунтов в соцсетях или пины от банковских карт.

Но не только пароли интересовали пользователей в открывшемся «Гугл-гейт». Получив несколько часов для доступа к чужим документам, пользователи спешили поделиться тем, что удалось обнаружить.

Так, журналист, SMM-щик и популярный пользователь ВК Игорь Белкин утверждал, что обнаружил внутреннюю инструкцию по найму в «Тинькофф Банк»,  где говорилось о запрете брать на работу «представителей негроидной расы», «ярко выраженных представителей сексуальных меньшинств», а также тех, кому нужно «молиться в течении рабочего дня» (орфография источника сохранена). Представители банка сперва опровергли эту информацию, заявив что «принимают на работу любого, кто сможет эффективно трудиться», но доступ к документу после внимания СМИ был ограничен. К вечеру в пресс-службе банка уточнили: автора документа нашли, это сотрудник банка — и он останется сотрудником банка. «Описанные в этом тексте правила прямо противоречат HR-политике группы», — заявили в «Тинькофф-банке», и этим ограничились.

Известный блогер Илья Варламов заявил, что обнаружил «отчет» мэрии Екатеринбурга по «борьбе с негативом в СМИ». А некоторое время назад Варламов как раз побывал в городе и проехался насчет его администрации. «Блогер Илья Варламов раскритиковал инфраструктуру Екатеринбурга в связи с ЧМ-2018. Рекомендации: Подготовить от имени блогера — местного жителя и туриста — репортаж об удобстве парков и улиц Екатеринбурга. Максимально связать с темой Ройзмана — заявить, что это очередной пример, когда глава города выбранный не как “крепкий хозяйственник”», — привел Варламов слова из документа. В ответ в мэрии документ назвали фэйком. «Мы вообще не работаем в Google.docs», — заверили в пресс-службе.

В открытом доступе также оказались различные бюджеты, сметы, анализы конкурентов, медиапланы, базы журналистов, и даже якобы документ замминистра энергетики России

Антона Инюцына с представителями компаний, например, «Газпрома» и «Лукойла».

Примерно в час ночи 5 июля «Яндекс» сам остановил индексацию файлов из сервиса Google.docs. В компании объяснили, что в поисковой выдаче оказались только те документы, владельцы которых сами разрешили к ним доступ «по гиперссылке» — то есть без ввода пароля. «Приватные документы «Яндекс» не индексирует», — заявили в компании.

В поисковике рассказали, что их служба безопасности связывается с Google, чтобы обратить внимание на простой доступ к, возможно, конфиденциальной информации пользователей. Важно, что «Яндекс» — не единственный популярный поисковик, который индексировал не защищенные паролем документы пользователей из Google.doc.

Искать по гугл-документам по описанной схеме до сих пор могут поисковики Mail.ru, Bing, да и сам поиск Google.

«Это не утечка конфиденциальных данных, а банальная халатность пользователей сервисов Google.docs и Google.drive», — заявили в компании Group IB, специализирующейся на расследовании киберпреступлений. «Если у вас в настройках доступа выбран режим «по ссылке» и «общедоступно для поиска и просмотра», ваша информация может индексироваться поисковыми машинами», — пояснили в компании. Кстати, именно к таким документам первым делом получает доступ киберразведка и хакеры.

В беседе с корреспондентом «Новой газеты» представитель одной из крупнейших российских IT-компаний, занимающейся поиском в интернете, предположил, что причина попадания массива документов популярнейшего облачного сервиса в индексацию поисковиков — баг (технический сбой) у файла robots.txt на стороне Google.docs.

«Видимо, там в явном виде прописана команда “allow” («разрешить доступ»). Это проблема касается всех поисковиков, тут вопросы — к компании Google», —

считает собеседник «Новой», попросивший не называть ни его имени, ни названия его компании.

ответ google

В компании Google «Новую» заверили, что сервис работает корректно.

В открытый доступ, по словам официального представителя компании, попали только те документы, которые «намеренно сделаны публичными», или ссылки на которые были опубликованы в интернете.

«Расширенные поисковые запросы были всегда, — рассказал «Новой» руководитель департамента системных решений Group IB Антон Фишман. — Другой вопрос, как именно индексировались гугл-документы в поиске и как в итоге отображались в выдаче. Наличие подобной выдачи в других поисковых системах (Bing, Mail.ru, Google), дает возможность думать, что да, проблема была и раньше».

Специалист пояснил, что любая поисковая система улучшает свой движок и переписывает алгоритм осуществления индексации. «Не исключено, что в результате этих улучшений появилась возможность «видеть» ранее недоступные файлы», — предположил, но не утверждает Фишман. — Мы видели именно документы, которые имели свойство «доступны для поиска», а не просто доступ по ссылке. У поисковиков есть различные технологии получения таких ссылок. Это могут быть и различные сайты в интернете, где пользователи публиковали эти ссылки и различные «счетчики», установленные на сайтах и различные браузерные плагины».

Технический директор «РосКомСвободы» Станислав Шакиров пояснил «Новой», что

ошибка, из-за которой в доступе оказались документы с сервиса, могла произойти как у Google, так и у «Яндекса».

Если сбой произошел у поисковика, то он мог просто индексировать все подряд из браузера или почты, а если у Google, то в файле robots.txt, предположил эксперт.

«Например, вы создали документ в Google.docs с правом доступа без пароля, но «по ссылке» и переслали его в мессенджере. Получатель скопировал ссылку и вставил в поисковую строку, после чего поисковик пытается индексировать эту ссылку», — сказал Шакиров. За разрешение индексации у Google.docs отвечает файл robots.txt, в нем и прописаны все эти алгоритмы.

Опрошенные «Новой газетой» эксперты уверяют, что компания «Яндекс» не имеет права обрабатывать информацию из своих источников, например, почты. Однако «хитрят все», отметил технический директор «РосКомСвободы». В Group-IB добавляют, что пренебрежение элементарными правилами  «цифровой гигиены» сделали общедоступными «даже документы не совсем легальных сфер бизнеса».

Под «цифровой гигиеной» специалисты по IT-безопасности ничего нового не подразумевают. Инструкция по защите личных данных осталась прежней: следить за настройками приватности своих документов и не предавать в открытый доступ адреса, пароли и пины.

Делаем честную журналистику
вместе с вами

Каждый день мы рассказываем вам о происходящем в России и мире. Наши журналисты не боятся добывать правду, чтобы показывать ее вам.

В стране, где власти постоянно хотят что-то запретить, в том числе - запретить говорить правду, должны быть издания, которые продолжают заниматься настоящей журналистикой.

Ваша поддержка поможет нам, «Новой газете», и дальше быть таким изданием. Сделайте свой вклад в независимость журналистики в России прямо сейчас.
#яндекс #google #пакет яровой #личные данные #кибербезопасность

важно

5 часов назад

Российские фигуристы Синицина и Кацалапов стали чемпионами мира в танцах на льду

Slide 1 of 7

выпуск

№ 32 от 26 марта 2021

Slide 1 of 11
  • № 32 от 26 марта 2021
  • № 31 от 24 марта 2021
    № 31 от 24 марта 2021
  • № 30 от 22 марта 2021
    № 30 от 22 марта 2021
  • № 29 от 19 марта 2021
    № 29 от 19 марта 2021
  • № 28 от 17 марта 2021
    № 28 от 17 марта 2021
  • № 27 от 15 марта 2021
    № 27 от 15 марта 2021
  • № 26 от 12 марта 2021
    № 26 от 12 марта 2021
  • № 25 от 10 марта 2021
    № 25 от 10 марта 2021
  • № 24 от 5 марта 2021
    № 24 от 5 марта 2021
  • № 23 от 3 марта 2021
    № 23 от 3 марта 2021
  • В архив выпусков «Новой газеты»

Топ 6

1.
Расследования

Крым их Как поделили полуостров друзья Владимира Путина и местные чиновники. И чем этот «дележ» обернулся для обычных жителей

496801

2.
Сюжеты

«Заткните это животное!» В Находке структуры, которые были связаны с Ротенбергом, строят завод по производству метанола для Китая. Он нравится всем, кроме местных жителей

186592

3.
Колонка

Масочный режим для фуфловира Главу «Биотек» Шпигеля арестовали потому, что госструктуры не простили частникам конкуренции в ковид-пандемию. А губернатор пошел довеском

183592

4.
Сюжеты

«Умирать я буду одинокой» Пройти девяностые и штурмовать Грозный, биться на ринге и прыгать с парашютом. Ничто не сделает мужчину — мужчиной, если внутри него живет женщина

166597

5.
Репортажи

Миллиардер. Из Пензы Как выживает один из беднейших регионов России, где губернатор арестован за взятки. Репортаж «Новой»

140338

6.
Новости

«Я кричал от боли»: похищенные чеченские юноши подали заявление в СК по факту пыток со стороны силовиков в 2020–2021 годах

87608

Вы можете просто закрыть это окно и вернуться к чтению статьи. А можете — поддержать газету небольшим пожертвованием, чтобы мы и дальше могли писать о том, о чем другие боятся и подумать. Выбор за вами!
Стать соучастником

К сожалению, браузер, которым вы пользуетесь, устарел и не позволяет корректно отображать сайт. Пожалуйста, установите любой из современных браузеров, например:

Google Chrome Firefox Opera