В выдачу «Яндекса» попали документы из Google Docs. Чем это опасно?

Ответить
Ответить
Комментировать
0
Подписаться
2
1 ответ
Поделиться

Для начала вспомним, что именно произошло.

Поисковые системы (Яндекс в том числе) индексируют всю доступную им информацию. Информация в вебе может быть закрыта – например, доступна только авторизованному пользователю, который ввёл логин и пароль; а может быть открыта, то есть доступна всем, кто так или иначе получил ссылку на неё. Также есть механизм рекомендаций – что с этой ссылкой можно делать, а что не стоит (они определенным способом описываются в файле robots.txt). Яндекс учитывает эти рекомендации, и если в robots.txt указано, что индексировать ссылку не нужно, он этого делать не будет. Инцидент случился из-за того, что Google перестал показывать эти рекомендации, и те ссылки, которые технически были доступны всему миру, были проиндексированы и попали в поисковую выдачу. То есть, ещё раз повторю: любой, у кого была такая ссылка, мог получить доступ к файлу без какой-либо авторизации, проверки логина-пароля и пр. То есть, принципиальной проблемой явилась не индексация документов, а то, что их владельцы сами открыли их для всего мира. Любой другой поисковик, который игнорирует файл robots.txt (в том числе специализированный), мог включать содержимое этих документов в поисковую выдачу годами. Более того, продолжает это делать и поныне, так как содержимое документа по-прежнему доступно всем, кто знает URL. Так что эта история, по сути, в точности повторяет историю 2012 года, когда Яндекс проиндексировал СМС-сообщения Мегафона, отправляемые из веб-интерфейса (https://www.vedomosti.ru/technology/articles/2011/07/18/yandeks_proindeksiroval_sms_abonentov_megafona) из-за отсутствия файла robots.txt. 

При этом стоит помнить, что сообщения месседжеров, отправляемые без использования end-to-end шифрования, могут анализироваться на серверах этих месседжеров – в том числе, для нахождения URL (см., например, вот эту историю: https://habr.com/post/180163/). Были сообщения и об аналогичных системах анализа электронной почты у некоторых операторов, плюс электронная почта может быть интегрирована со сторонними проектами (которые ищут, например, сообщения о бронированиях для добавления в календарь), и эти проекты, таким образом, тоже получают который доступ к сообщениями. Другими словами, аргументация "адрес этого документа в вебе секретный, его знаю только и я, и человек, которому я его послал", довольно наивна: URL, переданный без специальных мер предосторожности, может разойтись по достаточно большому числу проектов, откуда попасть в список для сканирования поисковыми системами.

Также наивно считать, что этих поисковых систем – штук 5-6 (например, Google, Yandex, Bing, Seznam, Baidu, Duckduckgo). Есть приватные поисковые системы, есть специализированные поисковики и так далее. Они вполне могут вести себя не так по-джентельменски, как Яндекс, учитывая ограничения из robots.txt.

Простые рекомендации конкретно по этому случаю:

1) Возможно, скомпроментировано содержимое документов, которые доступны без авторизации, просто по ссылке. Эти документы помечены в Google Docs значком, и в панели Activity указано, что "Anyone Сan view" (или "Anyone Can edit", например):

Если там хранились какие-то пароли или другая секретная информация – лучше считать, что она стала публично известной, и предпринять меры по её изменению.

Сам по себе пароль для доступа в Google Docs (если он не был указан в документах, конечно), не был скомпроментирован, его менять необязательно (хотя время от времени и стоит это делать в любом случае).

Ну и на будущее – распространять любую информацию, просто делясь ссылкой можно, только если от утечки этой информации не случится никакого вреда. Во всех остальных случаях стоит делиться только с конкретными пользователями. В этом случае для доступа к документам потребуются логин и пароль, которых у поисковых систем нет, так что повторение сценария будет невозможно.

Ну и всегда стоит помнить о том, что всегда есть вероятность как умышленных действий по взлому, так и человеческой ошибки (яркий пример - https://www.dw.com/ru/facebook-%D0%BF%D0%BE-%D0%BE%D1%88%D0%B8%D0%B1%D0%BA%D0%B5-%D0%BE%D0%B1%D0%BD%D0%B0%D1%80%D0%BE%D0%B4%D0%BE%D0%B2%D0%B0%D0%BB-%D0%B7%D0%B0%D0%BA%D1%80%D1%8B%D1%82%D1%8B%D0%B5-%D0%B7%D0%B0%D0%BF%D0%B8%D1%81%D0%B8-14-%D0%BC%D0%B8%D0%BB%D0%BB%D0%B8%D0%BE%D0%BD%D0%BE%D0%B2-%D0%BF%D0%BE%D0%BB%D1%8C%D0%B7%D0%BE%D0%B2%D0%B0%D1%82%D0%B5%D0%BB%D0%B5%D0%B9/a-44121318). Поэтому меры по защите данных должны соответствовать их уровню секретности.

23
-1

это все очень мило, но не отвечает на главный вопрос - "откуда яндекс мог получить ссылки на эти документы?"

Забалтывание этого вопроса какой-то не имеющей к делу отношения чепухой про robots.txt наводит на мысль о том, что яндекс нечаянно слил какую-то систему подслушивания и подглядывания.

-1
Ответить

Отсюда и взял. Ответ исчерпывающий. Поясняю для самых маленьких.

Ходит робот Яндекса по интернету. Самое главное в жизни этого робота: проиндексировать как можно больше ссылок. Но этот робот очень вежливый: прежде чем что-то индексировать, он каждый раз спрашивает у сервера: "А это можно индексировать?". Сервера ему отвечают "Да, пожалуйста" или "Нет, не стоит".
Так вот. Когда робот увидел ссылки на такие гугл-документы, он спросил свой стандартный вопрос. А сервер Гугл ему ответил, "Да, друг мой, индексируй, пожалуйста". И робот начал это всё дело радостно индексировать.

0
Ответить

яндекс нечаянно слил какую-то систему подслушивания и подглядывания

Яндекс.Браузер называется.

0
Ответить
Прокомментировать
Ответить
Читайте также на Яндекс.Кью
Читайте также на Яндекс.Кью