Новости
Сергей Звезда

Утечка Google Docs через «Яндекс»: как личные данные попали в открытый доступ и какие могут быть последствия

Компании подтверждают достоверность обнаруженных документов, а юристы сомневаются в том, кого можно признать виноватым.

Фото РИА «Новости»

Вечером 4 июля в выдаче «Яндекса» обнаружили документы, созданные в сервисе Google Docs и недостаточно защищённые настройками приватности. За несколько часов, пока работала лазейка, через поисковик нашли пароли и персональные данные пользователей, корпоративные файлы и даже материалы московских чиновников о повышении явки на выборах мэра.

В ночь на 5 июля «Яндекс» без объявления закрыл возможность искать гугл-документы. По соцсетям успели распространить обнаруженные сведения, а юристы разошлись в трактовке закона о персональных данных.

Все поисковики индексируют данные из сервисов Google. Но именно через «Яндекс» нашли важную информацию

Google, «Яндекс», Bing, Mail.ru и другие поисковики уже некоторое время индексируют общедоступные файлы Google Docs. Но если по одному расширенному запросу (например, «пароли») Google продолжал показывать «мусорные» или подставные документы, то «Яндекс» стал выдавать документы со списками паролей к разным сайтам или номерами банковских карт, следует из наблюдения TJ. Тем не менее в «Лаборатории Касперского» отметили, что подобные новости о найденных личных данных появляются не в первый раз, а периодически.

Как в выдаче «Яндекса» оказались файлы с личными данными и внутренние корпоративные документы — до сих пор не до конца понятно. В самой компании утверждают, что действовали по правилам и индексировали только те страницы, что доступны при переходе по ссылкам без ввода логина и пароля. Пострадавшие пользователи жаловались, что в выдаче появились файлы, доступные по ссылке.

«Яндекс» отметил, что в его выдачу не попадают страницы, если администратор сайта запретил индексацию в файле robots.txt. Однако в случае с Google Docs такого запрета не было: роботы «Яндекса» действительно имели право сканировать адреса сервиса, в том числе начинающиеся на /document. Неясно только, как ссылки попали в открытые источники и их в итоге смог получить поисковик.

Одно из главных предположений — файлы Google Docs открывали через «Яндекс.Браузер» или передавали по «Яндекс.Почте», а результаты индексировались поисковиком. Также, вероятно, пользователи сами «засветили» ссылки на документы при обсуждениях во «ВКонтакте», в Фейсбуке и других соцсетях или на открытых форумах. Компания официально не проясняла этот момент.

Защитить данные просто: нужно просто сменить уровень приватности

Часть пользователей Google Docs, вероятно, не знала, что файлы с «доступом по ссылке» остаются общедоступными и ненадёжно защищёнными для того, чтобы хранить там важные данные.

Документ Google Docs не появится в выдаче, только если владелец файла установил в настройках определённый уровень приватности: например, с доступом по приглашению. Также можно скрыть его файл от других, оставив себе уникальный доcтуп.

Чтобы исключить нежелательный доступ к гугл-документам, следует установить «доступ по приглашению»

В Google Docs нельзя выставить один уровень приватности сразу для всех документов. Это делается отдельно для каждого файла. Разве что есть безопасный сервис, который позволяет отсканировать все файлы в личном облачном хранилище Google Drive и установить, что пока находится в открытом доступе. Также есть вариант быстро получить список всех файлов, не предоставляя доступ сторонним приложениям — с помощью сервиса на площадке для разработчиков Google API Explorer.

Кроме того, важен список полномочий, выданных совладельцам: только чтение или редактирование, скачивание и смена доступа для других пользователей. Что бывает в ином случае, показала ночь на 5 июля, когда некоторые превратили чужие общедоступные документы Google Docs в чаты.

В выдаче нашли внутренние документы банков, других компаний и чиновников

За несколько часов действия лазейки пользователи соцсетей распространили не только списки паролей, но и файлы, похожие на внутренние документы компаний. Далеко не всегда резонансная информация оказывалась общественно важной: доходило до рекламных бюджетов компаний, контактов журналистов и блогеров или «полного списка евреев, переменивших фамилию». Вместе с тем из документов стали известны некоторые значительные эпизоды.

Сотрудник «Тинькофф Банка» рассказал о дискриминации при найме на работу

В Google Docs обнаружили документ, где рассказывается о запрете нанимать в «Тинькофф Банк» сотрудников «сексуальных меньшинств», «представителей негроидной расы», тех, кому нужно молиться во время рабочего дня, а также бывших сотрудников ФСБ и журналистов. Сначала пресс-служба компании отрицала причастность к документу, но затем призналась, что автором стал сотрудник, создавший документ «с неясными для банка намерениями». Кроме «дополнительного инструктажа по ценностям», ему грозят дисциплинарные меры, но какие именно — «Тинькофф» пока не рассказал.

«Леруа Мерлен» стала собирать реакцию на скандал с пиарщицей

Пользователи соцсетей нашли таблицу «Леруа Мерлена» с комментариями о скандале из-за публикации своей, теперь уже бывшей, пиарщицы Галины Паниной. Та рассказала, что фанаты якобы сожгли некую девушку во время празднования победы России над Испанией, а не поверивших назвала «ваткой». После этого Панину уволили с должности.

В соцсетях предположили, что таблица может быть доказательством искусственного создания ажиотажа, но всё оказалось прозаичнее. «Леруа Мерлен» подтвердила, что это её внутренний рабочий документ, в котором собиралась реакция на скандал с пиарщицей. Как эти данные потом используются, в компании не пояснили.

Вероятно, «Ольгинские тролли» перечислили аргументы в поддержку Путина

Журналист «Эха Москвы» Александр Плющев опубликовал документ «Найдем правду: Россия при Путине достижения и антидостижения». В файле указаны исторические события, начиная с времени прихода Владимира Путина к власти.

Плющев предположил, что это методичка, распространённая среди «ольгинских троллей». Znak.com заметил, что таким образом для ботов перечислили возможные варианты развития дискуссии и аргументы в спорах. Никаких подтверждений достоверности файла нет.

Чиновники, предположительно, составили список москвичей, способных поднять явку на выборах мэра

Наблюдатели обнаружили документ «Ресурсная карта УИК» от 27 июня, в котором предположительно содержатся личные данные московских избирателей. В табличке собраны данные по количеству инвалидов, голосующих дома, и пожилых людей, которых могут обходить социальные работники. Автором указана начальница управления соцзащиты населения Северного административного округа Москвы Светлана Истомина. Активисты предположили, что таким образом власти намерены поднять явку на выборах мэра в сентябре, «согнав социально зависимых людей». Мосгоризбирком сообщил «Медузе», что не знает и «ничего не думает» о списке избирателей, попавшем в открытый доступ.

С публикацией обнаруженных данных в соцсетях не всё однозначно

«Яндекс» заявил, что индексировал только «открытую часть интернета». Google отметил, что в выдачу «Яндекса» попали только те файлы Google Docs, которые «намеренно были сделаны их владельцами публичными». Специалисты по безопасности из Group IB назвали «халатностью» то, что пользователи не выставили нужное ограничение доступа.

Другой вопрос — можно ли свободно публиковать в соцсетях внутренние конфиденциальные документы Google Docs, найденные в выдаче «Яндекса». Согласно закону, такой доступ к компьютерной информации можно счесть неправомерным, поскольку «не было разрешения законного владельца», пояснила TJ юрист «Открытого права» Юлия Федотова. Однако закон можно применить, если доступ повлёк уничтожение, блокировку или копирование информации. Получается, пользователям действительно смогут предъявить претензии, если хотя бы «удастся натянуть „разглашение персональных данных“ на „копирование“».

Есть и другое мнение по поводу вероятных последствий. Пользователям, опубликовавшим документы, не грозит наказание, поскольку они «имели ссылку, полученную законным способом в открытом источнике», высказал TJ своё мнение петербургский юрист, известный в Твиттере под псевдонимом Сергей Д.

Неоднозначная ситуация. Моё мнение, что информация получена законным способом, а человек не обязан надлежащим образом обрабатывать персональные данные. А вот тот, кто допустил возможность скачивания или доступа, может и будет привлечён к ответственности.

Сергей Д.

Однако если Google или «Яндекс» признают произошедшее техническим сбоем, то компании не смогут предъявить пользователю претензий, отметили оба юриста независимо друг от друга. В таком случае в действиях человека не будет состава правонарушения.

#разборы #яндексdocs #безопасность #медиа #соцсети