Вечером 4 июля поисковик «Яндекс» начал индексировать файлы сервиса Google Docs. Файлы индексировались течение нескольких часов; в ночь на 5 июля это прекратилось. В течение этих часов всем желающим были доступны документы, содержащие, в частности, персональные данные и пароли.
Сервис Google Docs широко используется во всем мире как для личных нужд, так и для работы, поэтому новость об утечке получила значительный резонанс. О происшествии писали, в частности, газета «Ведомости » и ряд Telegram-каналов. Они отмечали, что если указать область поиска docs.google.com и ввести некие слова строку поиска, то «Яндекс» выдавал документы в текстовом формате или формате электронной таблицы.
По сообщениям СМИ, среди выдаваемой информации была такая, которая походила на персональные данные (указывались имена, отчества, фамилии, номера телефонов и адреса электронной почты; можно было получить и пароли различных пользователей). Как утверждало интернет-издание Lenta.Ru, можно было найти и ответы на тест по информационной безопасности, а также контакты крупных российских чиновников.
В то же время СМИ подчеркивали, что популярнейший российский поисковик стал индексировать не все подряд файлы, а лишь не защищенные настройками приватности. Об этом первым сообщил паблик MDK в Twitter.
«"Яндекс" индексирует только открытую часть интернета — те страницы, которые доступны при переходе по ссылкам без ввода логина и пароля. Страницы, индексация которых запрещена администратором сайта в файле robots.txt, "Яндекс" не индексирует, даже если они находятся в открытой части интернета», — подтвердил редакции Lenta.Ru в комментарии пресс-службы компании.
В компании уточнили, что ее служба безопасности связалась с коллегами из Google, «чтобы обратить их внимание на то, что в этих файлах может оказаться приватная информация».
О том, что именно могло произойти и означает ли случившееся, что подобного рода утечки не исключены и впредь и что вообще небезопасно хранить где-либо в местах общего доступа конфиденциальную информацию, с «Полит.ру» поговорил Алексей Раевский, генеральный директор компании Zecurion, занимающейся разработкой DLP-систем для защиты от утечек информации, консалтингом и проведением исследований в области информационной безопасности.
«Насколько я понимаю, в данном случае в случае утечка случилась по вине самих пользователей: они сами выбрали в настройках вариант, предусматривающий общедоступность файла для поиска и просмотра. Почему эти файлы были доступны в течение только нескольких часов? Видимо, "Яндекс" на это среагировал оперативно и убрал его из поисковой выдачи. Но это, конечно, — борьба с симптомами, потому что кроме "Яндекса" есть и другие поисковики. В принципе, эти файлы может проиндексировать и сам Google. Тут можно порекомендовать пользователям только самим быть внимательнее и тщательно смотреть, каковы настройки безопасности.
Почему такого сорта утечек не происходило прежде? Конечно, нелепо думать, будто раньше все пользовались принципиально иными настройками безопасности, а тут внезапно стали путать их. Просто раньше из-за каких-то других настроек, других особенностей функционирования этих двух систем, "Яндекса" и Google, эти файлы не попадали в поисковую выдачу. Видимо, что-то изменилось на уровне одной из систем. Такое очень часто бывает: система не работает так, как должна бы по идее, а когда наконец начинает, все очень удивляются и думают, что же такое произошло. А произошло, вполне возможно, именно то, что система начала работать как нужно.
То есть, проблема могла существовать уже некоторое время, но ее не замечали, так как нечто иное ее перекрывало. Минус на минус дает плюс: какие-то другие настройки, возможно, не давали этим документам ранее попадать выдачу поисковика. Сейчас эти настройки изменились (а алгоритм того, как сделать так, чтобы какая-то страница или документ проиндексировались поисковиком, достаточно сложен, и настроек тут может быть много разных).
Что может означать тот факт, что файлы попали в поисковую выдачу одного лишь "Яндекса", если верить СМИ? Ну, возможно, дело в том, что изменились настройки именно "Яндекса". А возможно, "Яндекс" просто оперативнее других. Да и какие еще поисковики в России у нас так широко используется? Майрософтовский Bing далеко не столь популярен, а Google, может быть, эти файлы не отыскивал. Хотя возможно, что и он их искал, но эти документы оставались где-то внизу поисковой выдачи, и пользователи до них просто не доходили.
То есть, фактически, ситуация с безопасностью хранения информации никоим образом не поменялась — изменилась некое иное обстоятельство. Какое, сейчас сложно сказать. Более того, даже смысла нет разбираться, потому что этот вопрос важен только для технической поддержки обоих поисковиков, в "кухне" которых происходят какие-то внутренние процессы. А для пользователя важно понимать: если вы ставите галочку в окошке, предусматривающем, что документ будет доступен для всех, значит, он будет доступен для всех.
Вообще можно сказать: даже если вы какие-то документы сохраняете в облаке и выбираете режим "документ доступен только вам", то вы все-таки не застрахованы от какого-либо сбоя и от изменения каких-нибудь настроек в результате этого сбоя или чьих-то целенаправленных действий. И тогда эти документы станут доступны всем. Самый безопасный вариант, конечно, — не выкладывать никуда ничего из того, что не должно быть показано. Или, если уже выкладывать, то шифровать», — сказал Алексей Раевский.
