Эксперты объяснили, как документы Google Docs попали в «Яндекс»

Несекретные материалы

Пользователи рунета ни с того обнаружили, что личные файлы пользователей сервиса Google Docs и Google Drive индексируются поисковыми службами. Трендец документы, не защищенные паролями и находящиеся в открытом доступе, можно было легко диагностировать по соответствующим запросам — например, «контакты», «телефоны», «бюджеты» и т.д.

Так как многие сотрудники самых разных компаний поминутно пользуются Google Docs для хранения подобной информации, неожиданная находка привела к ошеломляющим результатам — род (человеческий в социальных сетях рассказывают о нахождении журналистских баз контактов, ответов на университетские тесты, финансовые цифирь крупных брендов и прочих данных, не предназначенных для широкой публики.

Первым в «утечке» обвинили поисковик «Яндекс», так (языко именно с его помощью была обнаружена уязвимость. Как выяснилось позднее, документы изо Google Docs индексируются во многих поисковых системах, включая сам Google, Mail.Ru и Bing.

Якобы сообщил «11news.ru» представитель пресс-службы «Яндекса»,

поисковая система индексирует всю открытую том интернета, поэтому в выдачу и попали незащищенные документы из Google Docs.

«Страницы, индексация которых запрещена администратором сайта в файле robots.txt, «Яндекс» далеко не индексирует, даже если они находятся в открытой части интернета», — добавил собеседник «11news.ru».

Дьявол указал на то, что служба безопасности «Яндекса» связывается с коллегами из Google, с намерением обратить их внимание на то, что в этих файлах может оказаться приватная оповещение.

На момент написания заметки файлы Google Docs исчезли из поисковой выдачи «Яндекса». В других поисковиках часть документы все так же остаются в общем доступе.

Читайте также:  Какие новинки представят на презентации Apple WWDC 2018

«11news.ru» направила радиозапрос. Ant. ответ во внешнюю пресс-службу Google в России, но не смогла получить действенный комментарий.

Тем временем, руководитель департамента системных решений Group-IB Антон Фишман считает, что-нибудь произошедший инцидент нельзя считать полноценной утечкой данных, так как он произошел с-за халатности самих пользователей Google Docs.

«Когда вы создаёте файл в Google Docs, а далее предоставляете доступ другим пользователям, у вас есть несколько опций по выбору доступа к нему: «Публичный чтобы всего интернета и индексирования»; «Только для тех, у кого есть ссылка»; «По списку для того других пользователей с перечнем их почтовых адресов».

Если у вас в настройках доступа выбран распорядок «доступ по ссылке» и режим доступа «общедоступно для поиска и просмотра», ваша рэнкинг может индексироваться поисковыми машинами», — объяснил эксперт.

Он посоветовал пользователям проверить близкие настройки доступа, если они рассчитывают сохранить приватность. «В итоге, в очередной крата вопрос безопасности и сохранения личных данных пали жертвой человеческого фактора», — заключил Фишман.

Виноваты роботы

Одна нога здесь всего, ошибка произошла из-за неправильной настройки файла robots.txt, рассказывает Никеня Дуров, технический директор Check Point Software Technologies в России и СНГ. Этот обложка предназначен для того, чтобы ограничивать работу поисковых роботов на сайте — в нем содержатся инструкции, запрещающие индексацию определенных элементов возьми странице.

«Вероятно, robots.txt автоматически проиндексировал все возможные варианты веб-адресов, переходя в области ссылкам на документы Google Docs, доступ к которым пользователи разрешили «по ссылке» возьми файл. В итоге содержание документов стало доступно для поиска всем пользователям», — заключил Дуров, посоветовав кайфовый избежание подобных случаев использовать дополнительную аутентификацию, например, с помощью электронной почты.

Сюрвайер направления информационной безопасности КРОК Дмитрий Березин отметил, что подобная проблема возникает сделано не первый раз.

Читайте также:  Билл Гейтс: я научил Цукерберга смирению

По его словам, конфиденциальная информация может попасть в указатель «Яндекса» только в том случае, если данные были доступны по прямой ссылке сиречь она не была ограничена файлом robots.txt.

Так, если пользователь создает акт в Google Docs, проставляет «доступ по ссылке» или «общедоступно для поиска и просмотра», так он вполне может попасть в индекс поисковиков, поэтому выдача незащищенных файлов с сервиса вполне закономерна.

«Но виной тому может быть как недостаточные настройки безопасности частных пользователей и компаний, которые размещают информацию в Google Docs, в среднем и неправильные настройки файла robots.txt», — считает Березин.

В этой истории есть урок к Google о том, как они допустили возможность индексации документов, считает руководитель отдела технического сопровождения продуктов и сервисов ESET Russia Серж Кузнецов.

«Но главное – инцидент иллюстрирует всю мощь человеческого фактора (бессмысленного и беспощадного). Вследствие чего пользователи, несмотря на многочисленные предупреждения, хранят «секретные» данные в незапароленных документах? Благодаря тому компании экономят на собственных облачных сервисах и/или обучении сотрудников основам информационной безопасности?» — задает риторические вопросы сюрвейер.

Как рассказал «11news.ru» ИБ-евангелист компании Avast Луис Корронс, растрата своих данных в Google Docs является, с одной стороны, удобным способом, так что пользователь получает доступ к своим учетным данным с любого устройства и в любом удобном месте. С прочий стороны, это ненадежный метод, так как доступ к документу могут получить сладкое лицо.

«Поэтому все конфиденциальные данные нужно хранить в защищенных документах», — рекомендует Корронс, добавив, чего пароли лучше всего хранить в специальных менеджерах, которые могут обеспечить необходимое зашифрование, а значит безопасность данных пользователя.

label