Facebook | Город Алматы 
Выберите город
А
  • Актау
  • Актобе
  • Алматы
  • Аральск
  • Аркалык
  • Астана
  • Атбасар
  • Атырау
Б
  • Байконыр
Ж
  • Жезказган
  • Житикара
З
  • Зыряновск
К
  • Капчагай
  • Караганда
  • Кокшетау
  • Костанай
  • Кызылорда
Л
  • Лисаковск
П
  • Павлодар
  • Петропавловск
Р
  • Риддер
С
  • Семей
Т
  • Талдыкорган
  • Тараз
  • Темиртау
  • Туркестан
У
  • Урал
  • Уральск
  • Усть-Каменогорск
Ф
  • Форт Шевченко
Ч
  • Чимбулак
Ш
  • Шымкент
Щ
  • Щучинск
Э
  • Экибастуз

Эксперты объяснили, как документы Google Docs попали в «Яндекс»

Дата: 05 июля 2018 в 18:26 Категория: Новости интернета

Пользователи рунета неожиданно обнаружили, что личные файлы пользователей сервиса Google Docs и Google Drive индексируются поисковыми службами. Все документы, не защищенные паролями и находящиеся в открытом доступе, можно было легко найти по соответствующим запросам — например, «контакты», «телефоны», «бюджеты» и т.д.

Так как многие сотрудники самых разных компаний часто пользуются Google Docs для хранения подобной информации, неожиданная находка привела к ошеломляющим результатам — люди в социальных сетях рассказывают о нахождении журналистских баз контактов, ответов на университетские тесты, финансовые показатели крупных брендов и прочих данных, не предназначенных для широкой публики.

Ну что я могу сказать, выкачал я около 400 документов разных из гуглдрайва благодаря яндексу – отчеты, бюджеты, сметы, стратегии, планы, анализы конкурентов, медиапланы, базы журналистов, ютуберов/журналистов/блогеров/политиков и тд.
Класс :)

Первым в «утечке» обвинили поисковик «Яндекс», так как именно с его помощью была обнаружена уязвимость. Как выяснилось позднее, документы из Google Docs индексируются во многих поисковых системах, включая сам Google, Mail.Ru и Bing.

Как сообщил «Газете.Ru» представитель пресс-службы «Яндекса»,

поисковая система индексирует всю открытую часть интернета, поэтому в выдачу и попали незащищенные документы из Google Docs.

«Страницы, индексация которых запрещена администратором сайта в файле robots.txt, «Яндекс» не индексирует, даже если они находятся в открытой части интернета», — добавил собеседник «Газеты.Ru».

Он указал на то, что служба безопасности «Яндекса» связывается с коллегами из Google, чтобы обратить их внимание на то, что в этих файлах может оказаться приватная информация.

На момент написания заметки файлы Google Docs исчезли из поисковой выдачи «Яндекса». В других поисковиках некоторые документы все так же остаются в общем доступе.

«Газета.Ru» направила запрос во внешнюю пресс-службу Google в России, но не смогла получить оперативный комментарий.

Тем временем, руководитель департамента системных решений Group-IB Антон Фишман считает, что произошедший инцидент нельзя считать полноценной утечкой данных, так как он произошел из-за халатности самих пользователей Google Docs.

«Когда вы создаёте файл в Google Docs, а потом предоставляете доступ другим пользователям, у вас есть несколько опций по выбору доступа к нему: «Публичный для всего интернета и индексирования»; «Только для тех, у кого есть ссылка»; «По списку для других пользователей с перечнем их почтовых адресов».

Если у вас в настройках доступа выбран режим «доступ по ссылке» и режим доступа «общедоступно для поиска и просмотра», ваша информация может индексироваться поисковыми машинами», — объяснил эксперт.

Он посоветовал пользователям проверить свои настройки доступа, если они рассчитывают сохранить приватность. «В итоге, в очередной раз вопрос безопасности и сохранения личных данных пали жертвой человеческого фактора», — заключил Фишман.

Скорее всего, ошибка произошла из-за неправильной настройки файла robots.txt, рассказывает Никита Дуров, технический директор Check Point Software Technologies в России и СНГ. Этот файл предназначен для того, чтобы ограничивать работу поисковых роботов на сайте — в нем содержатся инструкции, запрещающие индексацию определенных элементов на странице.

«Вероятно, robots.txt автоматически проиндексировал все возможные варианты веб-адресов, переходя по ссылкам на документы Google Docs, доступ к которым пользователи разрешили «по ссылке» на файл. В итоге содержание документов стало доступно для поиска всем пользователям», — заключил Дуров, посоветовав во избежание подобных случаев использовать дополнительную аутентификацию, например, с помощью электронной почты.

Эксперт направления информационной безопасности КРОК Дмитрий Березин отметил, что подобная проблема возникает уже не первый раз.

По его словам, конфиденциальная информация может попасть в индекс «Яндекса» только в том случае, если данные были доступны по прямой ссылке или она не была ограничена файлом robots.txt.

Так, если пользователь создает документ в Google Docs, проставляет «доступ по ссылке» или «общедоступно для поиска и просмотра», то он вполне может попасть в индекс поисковиков, поэтому выдача незащищенных файлов из сервиса вполне закономерна.

«Но виной тому может быть как недостаточные настройки безопасности частных пользователей и компаний, которые размещают информацию в Google Docs, так и неправильные настройки файла robots.txt», — считает Березин.

В этой истории есть вопрос к Google о том, как они допустили возможность индексации документов, считает руководитель отдела технического сопровождения продуктов и сервисов ESET Russia Сергей Кузнецов.

«Но главное – инцидент иллюстрирует всю мощь человеческого фактора (бессмысленного и беспощадного). Почему пользователи, несмотря на многочисленные предупреждения, хранят «секретные» данные в незапароленных документах? Почему компании экономят на собственных облачных сервисах и/или обучении сотрудников основам информационной безопасности?» — задает риторические вопросы эксперт.

Как рассказал «Газете.Ru» ИБ-евангелист компании Avast Луис Корронс, хранение своих данных в Google Docs является, с одной стороны, удобным способом, так как пользователь получает доступ к своим учетным данным с любого устройства и в любом удобном месте. С другой стороны, это ненадежный метод, так как доступ к документу могут получить третье лицо.

«Поэтому все конфиденциальные данные нужно хранить в защищенных документах», — рекомендует Корронс, добавив, что пароли лучше всего хранить в специальных менеджерах, которые могут обеспечить необходимое шифрование, а значит безопасность данных пользователя.

По сообщению сайта Газета.ru