Пугающая утечка личных данных через Google Docs. Кто виноват?
Фото: Robert Galbraith / Reuters
В ночь на четверг разразился, наверное, самый удивительный за долгие годы скандал с утечкой личных данных в российском интернете. В поисковой выдаче Яндекса оказались документы Google Docs с по-настоящему приватной информацией: от паролей до смет, бюджетов и списков погибших на Донбассе. Ситуация в очередной раз поставила вопрос о границах защищенности информации в Сети и о том, кто должен за нее отвечать. Republic постарался внимательно разобраться в том, что произошло и чему это может научить нас.
Что случилось?
Яндекс добавил функцию поиска по документам сервиса Google Docs (она уже была в других поисковиках, например в самом Google и Bing). Поздним вечером 4 июля пользователи обнаружили, что в поисковой выдаче можно найти приватные файлы. По запросу «пароли» можно было увидеть, что многие люди хранят данные, необходимые для доступа к различным ресурсам, в своих гугл-документах. Публичными стали самые разные файлы – от курьезных, вроде списка «евреев, сменивших фамилию» и «борделей Санкт-Петербурга», до максимально серьезных – типа перечня погибших в Луганске или сметы на пиар-сопровождение скандала с «Леруа Мерлен». Самое большое возмущение вызвала HR-инструкция, сделанная от имени сотрудника «Тинькофф банка», согласно которой на работу в компанию запрещено брать кавказцев и открытых геев. В самом банке сначала отрицали, что это их документ, но потом рассказали, что его написал и опубликовал по своей инициативе один из сотрудников «с неясными целями». Около часа ночи Яндекс полностью отключил возможность поиска по Google Docs.
Как это стало возможно?
В Google Docs существует несколько уровней доступа, которые может настроить пользователь: полностью приватный вариант, доступ по ссылке и полностью открытый. В опции с публичным доступом прямо написано, что документ будет индексироваться поисковиками. Причем этот вариант никогда не включается по умолчанию – чтобы дойти до него, нужно несколько кликов. Второй вариант – один из самых популярных в Google Docs, его часто используют как инструмент совместной работы. Google нигде не указывает, как файл с такими настройками взаимодействует с поисковиками. В выдаче Яндекса оказались как документы с максимально публичными настройками доступа, так и те, доступ в которые был возможен только по ссылке.
Яндекс объяснил произошедшее тем, что «индексирует всю открытую часть интернета – те страницы, которые доступны при переходе по ссылкам без ввода логина и пароля». Кроме того, в компании указали, что в коде обсуждаемых страниц Google не было запрета на индексацию, которую всегда можно при желании поставить. В Яндексе отказались отвечать на прямой вопрос Republic, индексировал ли поисковик гугл-документы с настройками доступа «по ссылке». Однако под описание механизма действия поисковика такие файлы подходят – они не защищены паролем и на них не стоит запрет на индексацию.
То есть виноват Google?
Подпишитесь, чтобы прочитать целиком
Оформите подписку Redefine.Media, чтобы читать Republic
Подписаться [Можно оплатить российской или иностранной картой. Подписка продлевается автоматически. Вы сможете отписаться в любой момент.]