В поисковой выдаче «Яндекса» оказалось множество документов пользователей сервиса Google Docs, не защищенных настройками приватности. В российской интернет-компании утверждают, что она просто индексирует всю открытую часть интернета. По словам экспертов в области кибербезопасности, масштабы проблемы «огромны», а инцидент произошел из-за человеческого фактора: несмотря на предупреждения и резонансные утечки, люди продолжают хранить секретные данные в открытых документах. Ситуация могла затронуть и другие поисковики, включая Bing от Microsoft.
Фото: Роман Яровицын, Коммерсантъ
Вечером 4 июля документы пользователей сервиса Google Docs, не скрытые настройками приватности, оказались доступны в поисковой выдаче «Яндекса». На выдачу документов из Google Docs обратили внимание пользователи, информация об этом быстро распространилась в социальных сетях. В публичном доступе оказались документы с самой разной информацией — от участия компаний в тендерах до паролей к кредитным картам.
«Яндекс» индексирует всю открытую часть интернета — те страницы, которые доступны при переходе по ссылкам без ввода логина и пароля, объясняет представитель компании. По его словам, страницы, индексация которых запрещена администратором сайта в файле robots.txt, «Яндекс» не индексирует, даже если они находятся в открытой части интернета. «В среду вечером в службу поддержки обратились пользователи с жалобами на проблему доступности файлов на docs.google.com. Наша служба безопасности связывается сейчас с коллегами из Google, чтобы обратить их внимание на то, что в этих файлах может оказаться приватная информация»,— заявили в «Яндексе».
«Сохранять и защищать личную информацию пользователей — наш первый приоритет,— подчеркивают в Google.—
Сервис "Google Документы" является высоко защищенным инструментом для совместной работы, и он работает именно так, как задумывалось.
Поисковые системы могут индексировать только те документы, которые намеренно были сделаны их владельцами публичными, или когда кто-либо публикует ссылку на документ, владелец которого сделал его доступным для просмотра всем в интернете. Вы всегда можете изменить настройки доступа вашим файлам и установить ограничения, что именно доступно для просмотра, комментирования или редактирования выбранным пользователям».
Масштабы проблемы огромны, она касается всех облачных сервисов, не только Google, считает руководитель департамента системных решений Group-IB Антон Фишман. По его словам, другие поисковики также проиндексировали документы в Google Docs: «Всех не проверяли, но как минимум Bing (принадлежит Microsoft.— “Ъ”) точно». «Поисковик Bing индексирует и выдает в качестве результатов поиска только то, что находится в открытом доступе»,— сообщил “Ъ” представитель Microsoft. «Я лично не считаю это проблемой поисковых и облачных сервисов, пользователи сами выставили такой формат доступа. Но, конечно, стоит отслеживать эту информацию и запрещать ее индексацию на стороне провайдера облачного сервиса»,— говорит господин Фишман.
В «Поиске Mail.Ru» не отображаются ссылки на документы с приватным доступом, полученные в переписке через мессенджеры или в любом другом частном канале коммуникации, заявили “Ъ” в пресс-службе сервиса. «Мы никогда не индексировали такие ссылки и не планируем. "Поиск Mail.Ru" находит только публичные ссылки на документы на Google и других файлохранилищах, публичные — это значит, что на них есть ссылки с других сайтов в интернете, например опросы или презентации. Не видим в таких случаях ничего плохого: это стандартный механизм работы любого поисковика — обходить сайты, смотреть, куда они ссылаются, и идти дальше»,— отметил представитель компании.
Документы пользователей Google Docs появились в поисковой выдаче «Яндекса» не случайно, считает специалист технического сопровождения продуктов Eset Russia Борис Соболев. «Во-первых, файл robots.txt индексирует все общедоступные документы для поисковых систем. Во-вторых, пользователи открыли доступ к своим файлам без авторизации на сервисах Google и защиты, то есть априори разрешили доступ всему интернету. Другие поисковики проиндексировали файлы по той же причине — файл robots.txt используется большинством систем. Но его использование добровольное, индексацию можно и нужно было отключить,— рассуждает эксперт.— В теории "Яндекс" проиндексировал все файлы, до которых дотянулся, кроме доступных по приглашению».
По мнению господина Соболева, последствия утечки пользователи будут наблюдать в ближайшей перспективе: «Уже сейчас есть сообщения о взломе аккаунтов, пароли от которых пользователи хранили в Google Docs. Хорошо расходятся новости о корпоративной информации, попавшей в общий доступ. Пока непонятно, кто и в каком объеме скопировал или заскриншотил слитую информацию. Думаю, нас ожидает волна угонов аккаунтов, скандалов и разоблачений».
«В связи со случившимся инцидентом Роскомнадзор направил официальный запрос в компанию "Яндекс"»,— собщили “Ъ” в ведомстве.
Интернет-омбудсмен Дмитрий Мариничев считает, что у ситуации не может быть никаких юридических последствий.
В настройках сервисов есть режим приватности, и пользователи самостоятельно выставляют режим доступа к документам, иногда давая возможность третьим лицам получить возможность чтения или записи, говорит интернет-омбудсмен.
«Такое делают порой в целях организации коллективной работы над документами. Поэтому если кто-то не ставит свойство документа "Только для себя", то он никак не может претендовать на то, чтобы получить какое-то возмещение или претендовать на подачу иска на ущерб»,— считает интернет-омбудсмен. Он проводит аналогию с тем, что кто-то, уходя из дома, не кладет ключ под коврик, а оставляет его в ячейке замка: «Любой человек, даже случайно заметивший это, может войти посмотреть и даже что-то стащить».
По мнению ведущего юриста Обществ защиты прав потребителей Олега Фролова, если говорить о физических лицах, то перспектива получения компенсации морального вреда действительно маловероятна, либо, «даже если случится чудо и вы иск выиграете, она будет ничтожной и несоизмеримой с затратами сил на получение». «Что касается юридического лица, то ущерб здесь может быть более значительным, как минимум может быть раскрыта коммерческая тайна,— продолжает господин Фролов.— Практики такой обширной в России пока нет, убытки доказать в наших судах крайне сложно, суды неохотно верят в доказательства во всем, что связано с интернетом. Эта та область, с которой даже наше правительство не знает, как обращаться, разве только блокировать сайты и защищать честь и достоинство — вот здесь практика сложилась. А вот со сливами информации, хакерскими атаками бороться пока не научились».
Какие запросы могут исключаться из выдачи
В мае поисковики Mail.ru и «Спутник» подключились к федеральной государственной информационной системе, созданной для фильтрации заблокированных сайтов, с Google и «Яндексом» такая возможность пока только тестируется, заявили в Роскомнадзоре. Работа системы должна сделать недоступным в поисковой выдаче, в том числе, сайт блокируемого в России мессенджера Telegram. Участники рынка пока сомневаются, что для удаления ссылок на Telegram из Google и «Яндекса» достаточно оснований.