Несекретные материалы
Пользователи рунета неожиданно обнаружили, что личные файлы пользователей сервиса Google Docs и Google Drive индексируются поисковыми службами. Все документы, не защищенные паролями и находящиеся в открытом доступе, можно было легко найти по соответствующим запросам — например, «контакты», «телефоны», «бюджеты» и т.д.
Так как многие сотрудники самых разных компаний часто пользуются Google Docs для хранения подобной информации, неожиданная находка привела к ошеломляющим результатам — люди в социальных сетях рассказывают о нахождении журналистских баз контактов, ответов на университетские тесты, финансовые показатели крупных брендов и прочих данных, не предназначенных для широкой публики.
Ну что я могу сказать, выкачал я около 400 документов разных из гуглдрайва благодаря яндексу – отчеты, бюджеты, сметы, стратегии, планы, анализы конкурентов, медиапланы, базы журналистов, ютуберов/журналистов/блогеров/политиков и тд.
— Timurse• (@Timque) 4 июля 2018 г.
Класс :)
Первым в «утечке» обвинили поисковик «Яндекс», так как именно с его помощью была обнаружена уязвимость. Как выяснилось позднее, документы из Google Docs индексируются во многих поисковых системах, включая сам Google, Mail.Ru и Bing.
Как сообщил «Газете.Ru» представитель пресс-службы «Яндекса», поисковая система индексирует всю открытую часть интернета, поэтому в выдачу и попали незащищенные документы из Google Docs.
«Страницы, индексация которых запрещена администратором сайта в файле robots.txt, «Яндекс» не индексирует, даже если они находятся в открытой части интернета», — добавил собеседник «Газеты.Ru».
Он указал на то, что служба безопасности «Яндекса» связывается с коллегами из Google, чтобы обратить их внимание на то, что в этих файлах может оказаться приватная информация.
На момент написания заметки файлы Google Docs исчезли из поисковой выдачи «Яндекса». В других поисковиках некоторые документы все так же остаются в общем доступе.
«Газета.Ru» направила запрос во внешнюю пресс-службу Google в России, но не смогла получить оперативный комментарий.
Тем временем, руководитель департамента системных решений Group-IB Антон Фишман считает, что произошедший инцидент нельзя считать полноценной утечкой данных, так как он произошел из-за халатности самих пользователей Google Docs.
«Когда вы создаёте файл в Google Docs, а потом предоставляете доступ другим пользователям, у вас есть несколько опций по выбору доступа к нему: «Публичный для всего интернета и индексирования»; «Только для тех, у кого есть ссылка»; «По списку для других пользователей с перечнем их почтовых адресов».
Если у вас в настройках доступа выбран режим «доступ по ссылке» и режим доступа «общедоступно для поиска и просмотра», ваша информация может индексироваться поисковыми машинами», — объяснил эксперт.
Он посоветовал пользователям проверить свои настройки доступа, если они рассчитывают сохранить приватность. «В итоге, в очередной раз вопрос безопасности и сохранения личных данных пали жертвой человеческого фактора», — заключил Фишман.
Виноваты роботы
Скорее всего, ошибка произошла из-за неправильной настройки файла robots.txt, рассказывает Никита Дуров, технический директор Check Point Software Technologies в России и СНГ. Этот файл предназначен для того, чтобы ограничивать работу поисковых роботов на сайте — в нем содержатся инструкции, запрещающие индексацию определенных элементов на странице.
«Вероятно, robots.txt автоматически проиндексировал все возможные варианты веб-адресов, переходя по ссылкам на документы Google Docs, доступ к которым пользователи разрешили «по ссылке» на файл. В итоге содержание документов стало доступно для поиска всем пользователям», — заключил Дуров, посоветовав во избежание подобных случаев использовать дополнительную аутентификацию, например, с помощью электронной почты.
Эксперт направления информационной безопасности КРОК Дмитрий Березин отметил, что подобная проблема возникает уже не первый раз.
По его словам, конфиденциальная информация может попасть в индекс «Яндекса» только в том случае, если данные были доступны по прямой ссылке или она не была ограничена файлом robots.txt.
Так, если пользователь создает документ в Google Docs, проставляет «доступ по ссылке» или «общедоступно для поиска и просмотра», то он вполне может попасть в индекс поисковиков, поэтому выдача незащищенных файлов из сервиса вполне закономерна.
«Но виной тому может быть как недостаточные настройки безопасности частных пользователей и компаний, которые размещают информацию в Google Docs, так и неправильные настройки файла robots.txt», — считает Березин.
В этой истории есть вопрос к Google о том, как они допустили возможность индексации документов, считает руководитель отдела технического сопровождения продуктов и сервисов ESET Russia Сергей Кузнецов.
«Но главное – инцидент иллюстрирует всю мощь человеческого фактора (бессмысленного и беспощадного). Почему пользователи, несмотря на многочисленные предупреждения, хранят «секретные» данные в незапароленных документах? Почему компании экономят на собственных облачных сервисах и/или обучении сотрудников основам информационной безопасности?» — задает риторические вопросы эксперт.
Как рассказал «Газете.Ru» ИБ-евангелист компании Avast Луис Корронс, хранение своих данных в Google Docs является, с одной стороны, удобным способом, так как пользователь получает доступ к своим учетным данным с любого устройства и в любом удобном месте. С другой стороны, это ненадежный метод, так как доступ к документу могут получить третье лицо.
«Поэтому все конфиденциальные данные нужно хранить в защищенных документах», — рекомендует Корронс, добавив, что пароли лучше всего хранить в специальных менеджерах, которые могут обеспечить необходимое шифрование, а значит безопасность данных пользователя.