4 июля в поисковой выдаче Яндекса появились файлы пользователей сервиса Google Docs. Многие из них содержали конфиденциальную информацию — пользователи явно не рассчитывали, что их документы окажутся в публичном доступе.
Лазейку удалось быстро ликвидировать: в ночь на 5 июля Яндекс убрал ссылки на документы Google Docs из поиска. Однако за пару часов пользователи успели найти много интересного. Например, файл с инструкцией по найму сотрудников в «Тинькофф Банк». В ней не рекомендовано нанимать геев, кавказцев и сотрудников ФСБ.
Что произошло?
Как произошла утечка данных и почему весь массив документов оказался в поисковой выдаче именно сейчас, неясно. В Яндексе объяснили, что их поисковик «индексирует только открытую часть интернета — те страницы, которые доступны при переходе по ссылкам без ввода логина и пароля». Это происходит автоматически: поисковые роботы Яндекса обходят все страницы в интернете, к которым не запрещен доступ, и затем поисковик выдает ссылки на эти страницы по соответствующим запросам пользователей.
Google тоже вину признает: дескать, в открытом доступе оказались только те документы, которые не были защищены настройками приватности. То есть по сути это открытые для всего интернета страницы. И пользователей об этом предупредили в Пользовательском соглашении, которое обычно никто не читает.
Сами виноваты
Специалисты компании Group IB (специализируется на кибербезопасности) считают, что ситуацию с Google Docs нельзя назвать утечкой конфиденциальных данных.
«Это банальная халатность пользователей… Когда вы создаете файл в Google Docs, у вас есть несколько опций по выбору доступа к нему. Если у вас в настройках стоит галочка напротив «общедоступно для поиска и просмотра», ваш файл может индексироваться поисковыми машинами. Google предупреждает пользователей о том, что поиск будет возможен. «Яндекс» также ничего не нарушает», — заявили специалисты.
В «Лаборатории Касперского» также полагают, что не стоит винить в случившемся сервисы. По мнению представителя компании Юрия Наместникова, пользователям необходимо не ставить настройки доступа на «доступен всем», чтобы не попасть в такую ситуацию.
Что делать пользователям?
Итак, в Google Docs есть настройки доступа.
В них три уровня:
- для всех в интернете,
- для всех, у кого есть ссылка,
- для выбранных пользователей.
Документы с настройками «для всех в интернете» и «для всех, у кого есть ссылка» не защищены от общего доступа и, соответственно, могут появиться в поисковой выдаче.
Поэтому, если вы хотите, чтобы ваш документ могли читать и редактировать только вы и ограниченный круг лиц (коллеги, друзья, родственники), необходимо выбирать опцию «доступно только тем, кому вы отправите приглашение».
Эксперты по безопасности также рекомендуют хранить документы в облачных сервисах, предварительно архивируя файлы — современные программы-архиваторы позволяют шифровать данные. Это дополнительная серьезная защита для конфиденциальных документов.
