Почему файлы Google Docs попали в открытый доступ? История с выдачей приватной информации в поиске «Яндекса» — хороший повод вспомнить о том, как защищать свои документы
Файлы Google Docs стали доступны в поисковиках в среду вечером. По ключевому слову «пароли» «Яндекс» выдавал ссылки на документы, в которых хранились личные данные пользователей и компаний из разных социальных сетей. Однако в запросах отображались только те файлы, к которым владельцы разрешили просмотр по ссылке. Таким образом, в открытый доступ попали файлы, содержавшие пароли, номера кредитных карт, а также внутренние документы некоторых компаний — например, инструкция Tinkoff-банка о национальных предпочтениях при найме сотрудников (компания отрицала, что причастна к этому документу, который вскоре исчез из выдачи «Яндекса»). Впрочем, в четверг ночью «Яндекс», по наблюдениям пользователей, перестал индексировать файлы Google Docs, которые были доступны для всех накануне.
По словам анонимного источника в «Яндексе», файлы можно было найти во всех поисковиках, но в первую очередь — в самом Google. Компания индексирует Google Docs своих пользователей, только «Яндекс» заметил эту проблему раньше, утверждает он. Поисковик — это обычный робот, который показывает всю открытую часть, и вины «Яндекса» в этом нет, добавил собеседник The Village.
Редакция The Village отправила официальные запросы в глобальную и местную пресс-службы Google. Ожидание ответа заняло весь рабочий день. По корпоративному телефону автоответчик объявил, что с центром Google связаться нельзя и всю информацию можно получить по электронной почте. В конце концов, официальный комментарий от Google пришел, однако на уточняющие вопросы — в частности, почему массовая выдача частной информации началась вчера вечером и стала заметна именно в «Яндексе» — там не ответили, просто продублировав комментарий.
Илья Грабовский
пресс-секретарь «Яндекс»
«Яндекс» индексирует всю открытую часть интернета — страницы, которые доступны при переходе по ссылкам без ввода логина и пароля. Те документы, показ которых запрещен администратором сайта в файле robots.txt, поисковик не выдает, даже если они находятся в открытой части интернета.
В среду вечером в службу поддержки обратились пользователи с жалобами на доступность файлов на docs.google.com. Наша служба безопасности сейчас связывается с коллегами из Google, чтобы обратить их внимание на приватную информацию в файлах.
Сергей Никитин
заместитель руководителя лаборатории компьютерной криминалистики Group-IB
Когда вы создаете файл в Google Docs, а потом предоставляете доступ другим пользователям, у вас есть несколько опций по выбору доступа к нему: «Публичный для всего интернета и индексирования», «Только для тех, у кого есть ссылка», «По списку для других пользователей с перечнем их почтовых адресов». Если у вас в настройках доступа выбран режим «доступ по ссылке» и режим доступа «общедоступно для поиска и просмотра», ваша информация может индексироваться поисковыми машинами.
Кроме того, если ваша ссылка с доступом «только для тех, у кого есть ссылка» будет размещена где-то в публичном месте, то по ней смогут переходить любые пользователи, у кого она есть.
Кстати, это применимо не только для Google Docs, но и для видео на YouTube с доступом «только для тех, у кого есть ссылка», и для других файловых хранилищ и сервисов, где есть возможность давать доступ по ссылке без требований авторизации.
Светлана Анурова
пресс-служба Google
Cохранять и защищать личную информацию пользователей — наш главный приоритет. Сервис «Google Документы» — высоко защищенный инструмент для совместной работы, и он работает корректно. Поисковые системы индексируют только те документы, которые намеренно сделаны публичными их владельцами, или когда кто-либо публикует ссылку на документ, владелец которого сделал его доступным для поиска и просмотра всем в интернете. Всегда можно изменить настройки доступа к файлам и установить ограничения: что именно доступно для просмотра, комментирования или редактирования выбранным пользователям.