Секретные материалы: как «Яндекс» нашел документы пользователей Google
Примерно к 23:00 4 июля в рунете появились первые новости, что «Яндекс» выдает в поиске файлы, содержащиеся на «Google Диске». Учитывая, что пользователи сейчас все документы стараются хранить в облаке, попадалась и достаточно важная информация: пароли от сервисов, контакты партнеров и даже компромат. Кто виноват? И главное, что делать, чтобы не пострадать?
Вариант 1. Google
На момент публикации материала российское представительство Google не ответило, как могло так получиться, что личные файлы пользователей сервиса «Диск» оказались в публичном доступе.
Чтобы сайт появился в поиске, он должен быть проиндексирован, на сайт заходит робот «Яндекса» или другого поисковика и «ручкой в блокнотик» переписывает «слепок» информации сайта, чтобы понимать в целом, что на нем можно искать. Конечно, это все происходит в цифровом мире. Скорость индексации сайтов ограничена производительностью серверов поискового сервиса — поэтому, например, «Яндекс» лучше ищет в рунете, а Google — среди англоязычных сайтов, каждый фокусируется на своем сегменте.
Правила позволяют разработчикам отключать индексирование страниц, которые не должны появиться в поисковике, — правила индексации для сайта прописываются в файле robots.txt, который обязательно проверяет поисковик. Если программисты ошиблись при его создании или модификации, то в открытый доступ могут попасть данные, не предназначенные для публичного просмотра. Понятно, что для «Google Диска» файл существует давно, а данные в сеть попали только сейчас, поэтому и нужно выяснять причины.
Так уже было, в 2011 году оказались проиндексированы в «Яндексе» сообщения пользователей «Мегафон», отправленные с сайта. Почему виноват не «Яндекс»? Ведь только он проиндексировал послания? Можно предположить, что поисковик Google просто не успел до них добраться, но это был только вопрос времени.
Вариант 2. «Яндекс»
Все-таки подозрительно, почему раньше «Яндекс» не индексировал послания в «Google Диске» и вдруг они оказались в доступе? Что изменилось? Не стоит подозревать интернет-компанию в диверсии, как мы уже говорили, просто именно в этот момент до информации мог добраться робот.
Но пользователи сообщают, что можно было зайти не только в файлы с правами доступа «для всех», но и в те, которые были доступны только по ссылке. Четких подтверждений найти не удалось, но есть гипотеза, что умные алгоритмы перестарались и использовали ссылки, открываемые браузером «Яндекса», считая их общедоступной информацией. Это, конечно, было бы грубейшей ошибкой разработчиков.
Однако любые разработчики иногда ошибаются. В начале десятилетия модификация правил безопасности привела к тому, что в Facebook в публичном доступе оказалась информация, которую по замыслу авторов могли видеть только друзья. Тогда Марку Цукербергу удалось отбиться, заявив, что молодое поколение более открытое и не нуждается в приватности. Однако с ростом популярности сервиса Facebook пришлось озадачиться проблемой безопасности данных — и кейс со скандалом вокруг Cambridge Analytica компания будет разбирать еще долго.
В результате через несколько часов после первых сообщений о доступе к чужим материалам «Яндекс» вообще убрал возможность искать документы на docs.google.com. Даже те, которые находятся в публичном доступе. При этом общедоступные файлы с «Google Диска» можно найти в самом Google или других поисковых сервисах.
Компании иногда ошибаются, но они исправляются, а все ошибки предотвратить невозможно. И гораздо чаще проблема по другую сторону экрана, в действиях самих пользователей.
Вариант 3. И, боюсь, самый правильный
Многие считают пользователей виноватыми по одной простой причине: «Все, что выложено в Интернет, может быть украдено». Я с этим не согласен.
Действительно, любые файлы могут утечь, пароли могут быть взломанными, системы защиты можно обойти. Но мы живем в интернете уже большую часть своей жизни. Таскать с собой всю информацию, а еще и синхронизировать ее на разных устройствах, просто нереально. Да и небезопасно — если раньше грабители отнимали деньги, то теперь могут увести и флешку с паролями от банковских карт и почты.
Какой у вас e-mail? Он совпадает с логином в iCloud? Не состоит ли он из номера телефона, к которому привязана ваша банковская карта? Если ответ: «Да, это удобно». То подумайте о том, что это удобно не только вам.
К сожалению, интерфейс делают программисты, люди с техническим складом ума и логикой, которая не всегда очевидна, например, пользователям с бизнес-жилкой или способностями в гуманитарной области. Даже самый хороший интерфейс будет зверски изуродован, пока проект пройдет все этапы согласования и доделок. Стоит потратить время, но изучить их.
Вы думаете, только Google «Документы» с доступом «для всех» могут стать чужой добычей? Входите в сеть «ВКонтакте», выбирайте «Документы», набирайте «пароли» — и наслаждайтесь. Интернет — это памятник человеческой беспечности.
Совет 1. Проверьте настройки приватности по умолчанию для документов в облачных сервисах. Вам кажется, что они должны быть скрыты от посторонних глаз, сервис мог решить иначе. Регулярно убеждайтесь, что настройки приватности «не слетели».
Совет 2. Возможно, в этот раз была раскрыта информация и для документов с настройками приватности «по ссылке». Помните, что это минимальный уровень защиты. Один неосторожный пользователь, получивший ссылку, может выложить информацию в общий доступ. Вы не сможете даже проверить, что за «неопознанный олень» сейчас в документе, и понять, не достался ли файл чужим. Непосредственное подключение по e-mail и надежнее, и позволяет следить, кто вносил изменения в документ.
Совет 3. Вам правда нужны пин-код от банковской карты на ее обратной стороне и пароли от онлайн-банков в облачном доступе? Освойте менеджеры паролей, встроенные в браузеры или в виде отдельных приложений, — это программы, в которых одним паролем можно зашифровать все остальные.
Вы не можете запомнить пароль? Подумайте еще раз. Можно же загадать девичью фамилию не матери, а бабушки. Добавьте день рождения племянника (ок, хотя бы год), напишите задом наперед свое самое ненавидимое блюдо и добавьте адрес соседнего дома.
Применяйте современные биометрические методы защиты. Да, отпечаток пальца можно подделать, но это стоит несравнимо больших усилий, чем подобрать адрес ссылки или перехватить пароль от вашего сервиса.
Совет 4. Я не верю, что вы не можете обойтись без списка паролей. Но хотя бы усложните вору задачу. Пин-код от карты запишите в записную книжку в контакт бабушки (код оператора и недостающие цифры поставьте «из головы»). Элементарно не пишите в один файл логин и пароль — даже если они утекут, у злоумышленника в руках будет только половина кода. И главное.
Перестаньте надеяться, что компании все за вас сделают. Даже самый длинный и сложный пароль, который применяется на нескольких сервисах, можно выкидывать, если вы введете его под камерой наблюдения. Освойте современные возможности защиты своих данных. Интернет подарил нам новый мир. Не забудьте освоить инструкцию по его использованию.