Интернет-пользователи во вторник вечером обнаружили, что «Яндекс» в своей поисковой выдаче умеет показывать материалы из популярного облачного сервиса Google.Docs, владельцы которых дополнительно не защитили доступ паролем. Кликнув на материал из результатов поиска по таким материалам, можно было зайти и прочитать их содержимое. На «утечку» личных данных миллионов россиян, чувствительных служебных документов и корпоративной переписки компаний и госучреждений обратили внимание многие СМИ и блогеры. В компании «Яндекс» пообещали связаться с Google и указать на потенциальную опасность «дыры», но к часу ночи среды и сами заблокировали доступ к документам для поисковых запросов по Google.Docs. При этом искать по материалам Google.Docs до сих пор могут Mail.ru, Bing и сам Google. Что это было? И что это значит?
Одним из первых на возможность «Яндекса» найти и показать «чужие» незащищенные документы из облака Google.docs обратили внимание пользователи популярного сообщества MDK (вторник, 4 июля, около 23:00 по Москве). Юзеры сообщества рассказали, как это можно было сделать. К примеру, достаточно было ввести в строку поискового запросов текст вида: «site:docs.google.com пароли», и тогда «Яндекс» показал бы все документы всех пользователей Google, в названии которых содержалось слово «пароли» кириллицей. Получив этот список,
любой пользователь «Яндекса» мог войти в такой документ и увидеть его содержимое — например, список чужих паролей от аккаунтов в соцсетях или пины от банковских карт.
Но не только пароли интересовали пользователей в открывшемся «Гугл-гейт». Получив несколько часов для доступа к чужим документам, пользователи спешили поделиться тем, что удалось обнаружить.
Так, журналист, SMM-щик и популярный пользователь ВК Игорь Белкин утверждал, что обнаружил внутреннюю инструкцию по найму в «Тинькофф Банк», где говорилось о запрете брать на работу «представителей негроидной расы», «ярко выраженных представителей сексуальных меньшинств», а также тех, кому нужно «молиться в течении рабочего дня» (орфография источника сохранена). Представители банка сперва опровергли эту информацию, заявив что «принимают на работу любого, кто сможет эффективно трудиться», но доступ к документу после внимания СМИ был ограничен. К вечеру в пресс-службе банка уточнили: автора документа нашли, это сотрудник банка — и он останется сотрудником банка. «Описанные в этом тексте правила прямо противоречат HR-политике группы», — заявили в «Тинькофф-банке», и этим ограничились.
Известный блогер Илья Варламов заявил, что обнаружил «отчет» мэрии Екатеринбурга по «борьбе с негативом в СМИ». А некоторое время назад Варламов как раз побывал в городе и проехался насчет его администрации. «Блогер Илья Варламов раскритиковал инфраструктуру Екатеринбурга в связи с ЧМ-2018. Рекомендации: Подготовить от имени блогера — местного жителя и туриста — репортаж об удобстве парков и улиц Екатеринбурга. Максимально связать с темой Ройзмана — заявить, что это очередной пример, когда глава города выбранный не как “крепкий хозяйственник”», — привел Варламов слова из документа. В ответ в мэрии документ назвали фэйком. «Мы вообще не работаем в Google.docs», — заверили в пресс-службе.
В открытом доступе также оказались различные бюджеты, сметы, анализы конкурентов, медиапланы, базы журналистов, и даже якобы документ замминистра энергетики России
Антона Инюцына с представителями компаний, например, «Газпрома» и «Лукойла».
Примерно в час ночи 5 июля «Яндекс» сам остановил индексацию файлов из сервиса Google.docs. В компании объяснили, что в поисковой выдаче оказались только те документы, владельцы которых сами разрешили к ним доступ «по гиперссылке» — то есть без ввода пароля. «Приватные документы «Яндекс» не индексирует», — заявили в компании.
В поисковике рассказали, что их служба безопасности связывается с Google, чтобы обратить внимание на простой доступ к, возможно, конфиденциальной информации пользователей. Важно, что «Яндекс» — не единственный популярный поисковик, который индексировал не защищенные паролем документы пользователей из Google.doc.
Искать по гугл-документам по описанной схеме до сих пор могут поисковики Mail.ru, Bing, да и сам поиск Google.
«Это не утечка конфиденциальных данных, а банальная халатность пользователей сервисов Google.docs и Google.drive», — заявили в компании Group IB, специализирующейся на расследовании киберпреступлений. «Если у вас в настройках доступа выбран режим «по ссылке» и «общедоступно для поиска и просмотра», ваша информация может индексироваться поисковыми машинами», — пояснили в компании. Кстати, именно к таким документам первым делом получает доступ киберразведка и хакеры.
В беседе с корреспондентом «Новой газеты» представитель одной из крупнейших российских IT-компаний, занимающейся поиском в интернете, предположил, что причина попадания массива документов популярнейшего облачного сервиса в индексацию поисковиков — баг (технический сбой) у файла robots.txt на стороне Google.docs.
«Видимо, там в явном виде прописана команда “allow” («разрешить доступ»). Это проблема касается всех поисковиков, тут вопросы — к компании Google», —
считает собеседник «Новой», попросивший не называть ни его имени, ни названия его компании.
«Расширенные поисковые запросы были всегда, — рассказал «Новой» руководитель департамента системных решений Group IB Антон Фишман. — Другой вопрос, как именно индексировались гугл-документы в поиске и как в итоге отображались в выдаче. Наличие подобной выдачи в других поисковых системах (Bing, Mail.ru, Google), дает возможность думать, что да, проблема была и раньше».
Специалист пояснил, что любая поисковая система улучшает свой движок и переписывает алгоритм осуществления индексации. «Не исключено, что в результате этих улучшений появилась возможность «видеть» ранее недоступные файлы», — предположил, но не утверждает Фишман. — Мы видели именно документы, которые имели свойство «доступны для поиска», а не просто доступ по ссылке. У поисковиков есть различные технологии получения таких ссылок. Это могут быть и различные сайты в интернете, где пользователи публиковали эти ссылки и различные «счетчики», установленные на сайтах и различные браузерные плагины».
Технический директор «РосКомСвободы» Станислав Шакиров пояснил «Новой», что
ошибка, из-за которой в доступе оказались документы с сервиса, могла произойти как у Google, так и у «Яндекса».
Если сбой произошел у поисковика, то он мог просто индексировать все подряд из браузера или почты, а если у Google, то в файле robots.txt, предположил эксперт.
«Например, вы создали документ в Google.docs с правом доступа без пароля, но «по ссылке» и переслали его в мессенджере. Получатель скопировал ссылку и вставил в поисковую строку, после чего поисковик пытается индексировать эту ссылку», — сказал Шакиров. За разрешение индексации у Google.docs отвечает файл robots.txt, в нем и прописаны все эти алгоритмы.
Опрошенные «Новой газетой» эксперты уверяют, что компания «Яндекс» не имеет права обрабатывать информацию из своих источников, например, почты. Однако «хитрят все», отметил технический директор «РосКомСвободы». В Group-IB добавляют, что пренебрежение элементарными правилами «цифровой гигиены» сделали общедоступными «даже документы не совсем легальных сфер бизнеса».
Под «цифровой гигиеной» специалисты по IT-безопасности ничего нового не подразумевают. Инструкция по защите личных данных осталась прежней: следить за настройками приватности своих документов и не предавать в открытый доступ адреса, пароли и пины.
