Google выдал: почему стали доступны документы пользователей в поисковиках
О том, что «Яндекс» стал индексировать содержание Google Docs, стало известно в среду, 4 июля, из сообщений интернет-пользователей в соцсетях. Сам «Яндекс» позже подтвердил, что вечером того же дня в службу поддержки компании начали обращаться пользователи с жалобами на доступность в поисковой выдаче документов из Google Docs. Среди них, например, были документы со списком паролей к различным ресурсам.
В «Яндексе» подчеркнули, что поиск индексирует только те интернет-страницы, которые не защищены логином и паролем. Кроме того, страницы не попадают в выдачу, даже когда находятся в открытой части интернета, если администратор сайта, на котором они размещены, запретил их индексацию с помощью файла robots.txt. «Наша служба безопасности связывается сейчас с коллегами из Google, чтобы обратить их внимание на то, что в этих файлах может оказаться приватная информация», — говорил РБК представитель «Яндекса».
Представитель Google сообщил: «Поисковые системы могут индексировать только те документы, которые намеренно были сделаны их владельцами публичными, или когда кто-либо публикует ссылку на документ, владелец которого сделал его доступным для поиска и просмотра всем в интернете. Вы всегда можете изменить настройки доступа к вашим файлам и установить ограничения, что именно доступно для просмотра, комментирования или редактирования выбранным пользователям».
1. Как документы попали в поисковую выдачу
Google Docs — это бесплатный онлайн-офис, разработанный компанией Google. Облачное хранилище позволяет организовать удаленный доступ к размещенным на нем документам, а также обмениваться файлами. Опция сделать документ, размещенный в облаке, общедоступным — одна из основных для сервиса. Также пользователь может скрыть документ: тогда, кроме владельца файла, никто больше не получит к нему доступ. Если же пользователь делает документ общедоступным, то по ссылке, ведущей в файл, может пройти любой пользователь Сети, причем для этого ему не требуется аккаунт в Google Docs. Если пользователь видит, что созданный им документ просматривают люди из его списка контактов или анонимы (вместо аватара у них высвечиваются мордочки животных), значит, файл находится в общем доступе. Степень доступа устанавливается отдельно для каждого файла в настройках. Делясь файлом с другими, стоит обратить внимание на полномочия, которые будут иметь совладельцы документа. Для них можно выбрать статус редактора (разрешить менять доступ других пользователей, редактировать и скачивать файл), а можно ограничить функционал только просмотром документа и его комментированием. Владелец документа может сделать доступ к нему временным.
2. Когда поисковики начали индексировать документы Google Docs
По словам руководителя российского исследовательского центра «Лаборатории Касперского» Юрия Наместникова, все поисковые системы индексируют документы уже много лет и с определенной периодичностью появляются новости, что в поисковиках можно найти личные данные или документы, помеченные как секретные, причем хранящиеся как в облачных сервисах, так и на обычных сайтах организаций.
Для поиска таких документов необходимо использовать специальные расширенные поисковые команды. «Ими пользуются, например, в рамках пентестов (тестов на проверку возможности взлома. — РБК), первичной киберразведки. Нередко этот легальный инструмент применяют киберпреступники, он позволяет находить информацию, которая обычным поиском не ищется. Нередко таким образом можно найти пароли и другую ценную информацию», — говорилось в сообщении фирмы по информационной безопасности Group IB в соцсетях.
Руководитель департамента системных решений Group-IB Антон Фишман рассказал РБК, что расширенные поисковые запросы были всегда, но, чтобы в поиске отображались документы, необходимо было подбирать специальные команды. С какого-то момента в настройках поиска «Яндекса» появилась возможность искать по поддомену docs.google.com. Уточнить время появления эксперт не смог. «Зимой 2017 года (когда Group IB тестировала поиск «Яндекса». — РБК) такой возможности не было, когда она появилась — вчера или раньше, сказать сложно», — указал Фишман. По его словам, любая поисковая система постоянно совершенствует качество поиска, вносит изменения в свой движок и алгоритм индексации, поиска и выдачи результатов.
5 июля в 1:30 мск файлы Google Docs перестали отображаться в поисковой выдаче «Яндекса». Представитель российского поисковика не уточнил, как долго существовала эта опция и почему компания от нее отказалась.
3. Кто виноват
Group IB в своем сообщении в соцсетях указала, что ситуацию с Google Docs нельзя назвать утечкой конфиденциальных данных. «Это банальная халатность пользователей сервисов Google Docs и Google Drive (Google-диск — файловый хостинг, служба, предоставляющая пользователю место под его файлы и круглосуточный доступ к ним через интернет. — РБК). Когда вы создаете файл в Google Docs, у вас есть несколько опций по выбору доступа к нему. Если у вас в настройках стоит галочка напротив «общедоступно для поиска и просмотра», ваш файл может индексироваться поисковыми машинами. Google предупреждает пользователей о том, что поиск будет возможен. «Яндекс» также ничего не нарушает», — отмечалось в сообщении Group IB. В компании считают, что в том числе конфиденциальные документы стали общедоступными из-за небрежности пользователей и пренебрежения «элементарными правилами цифровой гигиены». Group IB порекомендовала пользователям, если они хотят сохранить приватность, проверить настройки доступа, которые они устанавливали на свои файлы, и убрать галочку напротив опции «доступно для поиска».
Юрий Наместников также считает, что несправедливо возлагать ответственность за произошедшее на «Яндекс». «Робот ходит по ссылкам и индексирует все документы, которые он видит, и ему не запрещено трогать. Это задача владельцев веб-сервисов — правильно разграничить доступ», — отметил он. Если пользователь не хочет, чтобы при работе с документами в облаках, причем не только в сервисах Google, созданные ими документы/презентации/таблицы индексировались роботами, Наместников советует не ставить настройки доступа на «доступен всем». «Давайте права на просмотр и редактирование только тем, кому это действительно нужно, и предпочтительно давать доступ по приглашению, а не по ссылке», — указал представитель «Лаборатории Касперского».
4. Какую чувствительную информацию индексировали поисковики
В 2011 году данные около 8 тыс. абонентов «МегаФона», отправивших СМС с официального сайта компании, попали в открытый доступ. Пользователи могли увидеть текст сообщения, номер получателя и статус доставки. В «Яндексе» произошедшее также объяснили некорректным использованием файла robots.txt администраторами сайтов.
В итоге Арбитражный суд Москвы признал «МегаФон» виновным в нарушении лицензионных условий (компания не обеспечила тайну связи) и назначил штраф в размере 30 тыс. руб. Иск к «МегаФону» подал Роскомнадзор. Представитель этого ведомства в ответ на вопрос РБК о том, как там расценивают ситуацию с Google Docs и «Яндексом», заявил, что они «направили официальный запрос в компанию «Яндекс». Дополнительные комментарии Роскомнадзор пообещал опубликовать на своем сайте.
Также в 2011 году в поисковики попадала информация о клиентах десятков интернет-магазинов, включая контактные данные, IP-адреса и списки приобретаемых товаров, а также личные данные пассажиров РЖД, которые приобрели билеты онлайн.
5. Кто и какую ответственность понесет за попадание Google Docs в поисковую выдачу
По мнению руководителя аналитического центра Zecurion Владимира Ульянова, история с индексацией документов не должна иметь юридических последствий ни для Google, ни для «Яндекса». «Проблем ни у провайдера, который хранит данные, ни у поисковиков не возникнет. В поиск попали те документы, которые были открыты. В поиск «Яндекса» попали документы Google Docs, которые имели вид доступа «для всех в интернете» и «для всех, у кого есть ссылка». То же самое можно осуществить и в поиске Google. То есть пользователи сами виноваты, что не приватизировали данные», — рассказал РБК Ульянов.
В разговоре с РБК партнер адвокатского бюро «Деловой фарватер» Антон Соничев отметил, что в случае обнародования персональных данных граждан поисковые агрегаторы могут понести ответственность за распространение информации лишь гипотетически. «По закону «О персональных данных» подобной информацией считаются ФИО, дата рождения, адрес проживания, семейное или имущественное положение гражданина и прочее. Поисковые машины, являясь операторами персональных данных, обязуются не распространять персональные данные без согласия на то субъекта этих данных», — отметил он. Но чтобы зафиксировать факт распространения такой информации, нужно, чтобы скриншот страницы был нотариально заверен и составлен протокол осмотра. «Учитывая тот факт, что информация была обнародована ночью, возможность взыскания каких-либо компенсаций практически сводится к нулю», — считает Соничев.
Адвокат Роман Алымов сообщил РБК, что пользователи несут ответственность за то, как хранят свои данные. «Является или не является эта информация персональными данными, зависит от каждого конкретного случая. Все это произошло из-за халатности конкретных пользователей, чьи пароли всплыли. Они не установили соответствующие режимы конфиденциальности», — пояснил он.